代码编织梦想

漏洞汇总
1、存储型跨站脚本(反射性XSS)
2、应用程序错误
3、水平越权
4、邮件轰炸
5、邮件炸弹
6、未授权访问
7、信息泄露
8、暴力破解
9、会话超时设置
10、Cookie未启用Secure
11、敏感信息泄露-账号密码(密码密文显示)
12、纵向越权
13、暴力破解-缺少验证码机制
14、用户名GET方法传输
15、HTTP协议传输敏感信息
16、客户端跨站请求伪造(CSRF)
17、应用程序错误-泄露中间件版本信息
18、SQL语句信息泄露漏洞
19、账号密码明文传输
20、启用了不安全的HTTP方法
21、用户名枚举
22、短信、邮件轰炸
23、Struts2反序列化GETshell
24、FTP弱口令
25、mysql弱口令
26、写入性CSRF漏洞
27、接口信息泄露
28、SQL注入
29、任意文件下载
30、未授权下载任意文件
31、未授权查看理赔申请表
32、用户个人信息遍历
33、物理路径泄露
34、秘钥弱加密
35、支持旧版本的TLS
36、任意文件上传漏洞
37、服务器绝对路径暴露
38、服务端版本信息泄露漏洞
39、HTTP协议传输敏感信息
40、WebServer版本信息泄露
41、目录列表
42、信息泄露-学生个人信息泄露
43、存在测试文件
44、Cookie未启用httponly属性
45、无效的会话登出
46、SSL版本过低
47、spring boot配置不当,暴露相关接口
48、敏感信息为脱敏
49、反序列化命令执行漏洞
50、越权修改
51、绕过图片验证码撞库
52、存在任意重置密码
53、存在遗留后门未处理
54、目录遍历导致信息泄露
55、用户信息遍历
56、管理系统弱口令
57、登录时验证码缺陷
58、任意手机号注册
59、命令注入/执行
60、代码注入/执行
61、服务器请求伪造(SSRF)
62、XML实体注入(XXE)
63、JSONP劫持
64、任意URL重定向
65、短信/邮件/电话炸弹
66、登陆口爆破
67、订单金额任意修改
68、验证码回传
69、未进行登录凭证验证
70、某航空公司订单ID枚举
71、某电子认证中心敏感文件下载
72、某站越权操作缺陷,没对ID参数做ccokie验证导致
73、接口无限制枚举
74、某电商接入接口无验证导致撞库
75、某招聘网站验证码无限制枚举
76、某快递公司优惠券枚举
77、某电商会员卡卡号枚举
78、某超市注册用户信息获取
79、cookie设计存在缺陷
80、cookie设置存在被盗风险
81、用户的cookie数据加密应严格使用标准加密法,并注意密钥管理
82、auth设计缺陷
83、找回密码存在设计缺陷
84、对response做验证
85、单纯读取内存值数据来当做用户凭证
86、加密会话(SSL)Cookie缺少secure属性
87、缺少“X-Content-Type-Options”
88、缺少“X-XSS-Protection”
89、缺少HTTP Strict-Transport-Security"头
90、容易出现点击劫持(Clickjacking)
91、Server字段泄露服务器信息
92、绕过客户端验证
93、绕过验证码
94、某汽车SVN源码服务器和业务系统监控平台JBoss存在反序列化命令执行漏洞
95、某汽车存在越权修改他人简历
96、某汽车二手车拍卖平台绕过图片验证码撞库
97、某汽车出存在WeblogicxmlidecOder反序列化漏洞
98、汽车某处存在Weblogic XMLDecoder反序列化漏洞
99、汽车某处存在任意重置密码
100、 汽车某服务存在遗留后门未处理
101、汽车某系统目录遍历导致信息泄露
102、汽车某站存在任意用户信息遍历
103、汽车项目质量管理系统弱口令
104、汽车自助系统存在命令执行
105、汽车某学院存在多漏洞打包
106、某汽车采购网被入侵

还有很多,后续会持续更新,如果大家有发现的其他的漏洞的话也可以在留言区评论,什么漏洞都可以,我会持续更新在博客中!

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/qq_50712601/article/details/112763253

Java服务,CPU100%问题如何快速定位?-爱代码爱编程

JVM线上问题排查 前言 项目运行中,难免会遇到一些问题,有时候cpu占用特别高,有时候内存特别高,出现这样的问题,我们该如何怎么解决,现在我们 就从下面示例代码来演示,如何定位到是哪个线程造成的,造成的原因是啥。 示例代码 public class Deadlock { public static void main(String[]

Spring整合Junit-爱代码爱编程

Spring整合junit的配置1、导入spring整合junit的jar坐标 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-test</artifactI

java基础语法(自学笔记,边学边更新,自用)-爱代码爱编程

目录 基础Hello world数据类型标识符修饰符变量关键字for eachjava面向对象继承override/overload参考资料: 基础 Hello world 如下图> 其中: Hello_World 为类名 并且类名要与文件名相同,即文件名要为Hello_World.java String args[] 与 Str

JDBC的基本操作 SQL注入 数据库连接池 数据库连接 常用方法 MyBatis连接数据库 JDBC讲解第一篇-爱代码爱编程

看了这篇文章你可以 什么是JDBCJDBC最原始的操作步骤SQL注入是什么常用statement接口的方法 以及这些方法的区别连接数据库的参数是什么、有什么作用批处理的使用数据库连接池的使用c3p0和德鲁伊数据库连接池的使用MyBatis框架连接数据库Spring框架 JDBCTemplate的使用以及上述操作的细节什么是JDBC JDBC就是用于连接

没搞清楚网络I/O模型?那怎么入门Netty-爱代码爱编程

本文是Netty系列笔记第二篇 Netty是网络应用框架,所以从最本质的角度来看,是对网络I/O模型的封装使用。 因此,要深刻理解Netty的高性能,也必须从网络I/O模型说起。 看完本文,可以回答这三个问题: 五种I/O模型是什么?核心区别在哪里?同步=阻塞?异步=非阻塞?Netty的高性能,是采用了哪种I/O模型?1.掌握五种I/O模

SpringBoot自动装配原理-爱代码爱编程

1.@SpringBootApplication注解 我们发现自己的boot项目都有这个注解。进入里面可以发现有三个注解。 @SpringBootConfiguration:我们点进去以后可以发现底层是Configuration注解,说白了就是支持JavaConfig的方式来进行配置(使用Configuration配置类等同于XML文件)。 @E

后台getshell常用技巧总结-爱代码爱编程

后台getshell常用技巧总结 1.利用文件上传漏洞,找文件上传处想办法上传php文件。 一些网站在设置可以允许修改上传的文件类型则直接添加php 有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过 很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况 这种情况直接上传

用户管理2---基本操作-爱代码爱编程

交互方式: 1.新建用户 首先右击“我的电脑” 找到“管理”,单击,跳转到如下界面 在左侧找到“本地用户和组”,点击右侧的“用户”,则可看到当前计算机中已经存在的用户,在空白处右击可看到“新用户”命令,点击,即可创建新用户。 2.管理用户 对准要管理的用户名称,右击可以看到一些管理命令。 3.删除用户 对准要删除的用户名称,

用户管理1---理论知识-爱代码爱编程

Windows服务器系统: win2000,win2003,win2008 Linux服务器系统: Redhat(收费),Centos(免费)两者都开源 用户概述: 每个用户登录系统后,拥有不同的操作权限。每个账户有自己唯一的SID(安全标识符)用户SID:S-1-5-21-426206823-2579496042-14852678-500系统S

组管理---2.组管理命令-爱代码爱编程

交互方式 首先右击“我的电脑” 找到“管理”,单击,跳转到如下界面 单击“组” 双击组的名称,即可看到每个组内的成员 选中某个成员,点击删除即可在该组中删除该成员。 同样,点击“添加”也可将某个用户添加到该组中。 DOS 命令方式 net localgroup #列出该计算机上的组列表 net localgroup 组

sqli-labs 18 基于http头中的参数注入-爱代码爱编程

sqli-labs-master/Less-18 来到18关,跟前几关唯一的不同点就是多出一行提示 尝试admin登录查看源码发现 $uagent = $_SERVER[‘HTTP_USER_AGENT’]; $IP = S

Auto.js入门-爱代码爱编程

Auto.JS Auto.js 是个基于 JavaScript 语言运行在Android平台上的脚本框架。Auto.js主要工作原理是基于辅助服务AccessibilityService。 手机环境:auto.js下载(资源自己寻找)及安装,开启无障碍服务 pc环境:推荐使用vscode,点击 扩展 搜索 Auto.js 或 hyb1996 即可找到