Web Vulnerabilities Methodology
上一页50030,50060,50070,50075,50090 - Pentesting Hadoop下一页Reflecting Techniques - PoCs and Polygloths CheatSheet
最后更新于
最后更新于
在每次Web渗透测试中,都存在一些隐藏和明显的可能存在漏洞的地方。本文旨在作为一个检查清单,确认您已经在所有可能的地方搜索漏洞。
如果输入的数据在响应中以某种方式反映出来,页面可能容易受到多种问题的影响。
其中一些漏洞需要特殊条件,其他只需要内容被反映。您可以在以下链接中找到一些有趣的多语言代码,以快速测试漏洞:
如果功能可用于在后端搜索某种数据,也许您可以(滥)用它来搜索任意数据。
当WebSocket发布消息或表单允许用户执行操作时,可能会出现漏洞。
根据Web服务器提供的HTTP头,可能存在一些漏洞。
有一些特定功能,可能需要一些变通方法才能绕过它们。
某些功能将需要数据以非常特定的格式结构化(如语言序列化对象或XML)。因此,更容易确定应用程序是否可能存在漏洞,因为它需要处理这种类型的数据。 如果使用特定格式的输入(如电子邮件头注入),某些特定功能也可能存在漏洞。
允许上传文件的功能可能存在多个问题。 生成包含用户输入的文件的功能可能执行意外代码。 打开由用户上传或自动生成的包含用户输入的文件的用户可能会受到威胁。
这些漏洞可能有助于利用其他漏洞。
如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看!
获取
探索,我们的独家
加入 💬 或 或在Twitter 🐦 上关注我们。
通过向和 github仓库提交PR来分享您的黑客技巧。