《2022版42种常见网站漏洞报告.docx》由会员分享,可在线阅读,更多相关《2022版42种常见网站漏洞报告.docx(52页珍藏版)》请在优知文库上搜索。
1、2022版42种常见网站漏洞-内含42种常见网站漏洞注:碰瓷类型漏洞脚本WaterEXp.Py请关注公众号”黑客StaIr回复:”碰瓷“进行获取sersAdministratorDesktoptaskspcpy3WaterExp.py-furls.txtAuthOrJinshao网站漏洞模板(42个常见漏洞).docx辅助挖涧脚本这是什么:一款面向安服仔的漏洞碰究具WaterExp:打工人新时代的摸鱼解决方案,安抚仔挖不到洞的最后一丝欢颜!+开升福多个目标urls.txt公众号:黑客Startgithub:https:/github.co11linshaoSec200濯加任务完成;共4个ttp
2、rww三Utp:/138.201.161.2/500Htp:/164.100.127.83/40311tps:/13.56.192.120/403开始扫描http:w.IniCrOdatar,com/1.GETmethodHeadersResponse:200Server:nginx/1.1.10Date:Sun,17Jul202206:22:28GMTContent-Type:text/html:charset=UTF-8Transfer-Encoding:chunkedConnection:keep-aliveFindX-FralneHJption:FindViilinxl.1.10支持方
3、法GET.HEAD.POST.OPTIONSTRACEjij405WWW.11icr碰瓷类型1. NginX版本泄露2. tomcat默认报错页面1.1 is版本泄露4. jquery版本泄露5. X-PoWered-By信息泄露6. X-Frame-OPtionS响应头丢失7. Content-Security-Policy8. TRACE方法启用9. 使用有漏洞的组件10. 绫慢的HTTP拒地服务攻击11. 目毋服务器启用了不安全HTTP方法12. secure13. 敏雹据GET传输14. SS1.证书无效风险名称Nginx版本泄露风险级别低风险风险描述暴露出版本号测试过程GBAMttR
4、MB1.fpmrriHMJJn2*UM4HHBBMaBwM*00o*JgSMmKAGmAcnpttvl*Mcpcs*crvtwwccpto*9fl09t*0pMC4Nv*HMWWtfwH11MACCaPKaiQMQemO6cKUUMw99kCEtZSg3sE?CowiKiOASV942c*pv*2C4*a*H411gt.1tv*oMoct*93D2MomkiV*MfaH*c*s*wr,:“31,Kfrv二1影响地址风险分析暴露出来的版本号容易变成攻击者可利用的信息。从安全的角度来说,隐藏版本号会相对安全些!加固建议打开nginx配置文件nginx.conf,在http里加上server_tok
5、ensoff;2.tomcat默认报错页面风险名称NginX版本泄露风险级别低风险风险描述暴露出中间件,具体版本号测试过程影响地址暴露出来的信息容易变成攻击者可利用的信息,如服务器中间件风险分析特性,支持的脚本语言等等。从安全的角度来说,隐藏版本号会相对安全些!打开nginx配置文件nginx.conf,在http.里加上server_tokens加固建议off;自定义错误页面风险名称Iis版本泄露风险级别风险描述暴露出中间件,具体版本号测试过程IUWHra1WST*aMtko*aH11Fi.13 Coo1.4 CdatMt-1.otk1-5 CacW-Coatrol:IMFfe:36 Sc4
6、:*-Mot.VBrd*;vV.roiucCVU-lfobHa8SM-Q-Ui-PlatfontFUe”fFrmtwZ*eiY,:HTTP1.12Foubd:CoatestTpV4Kit7J(XHTMUHUGeko)Ouom/102.O.SOOS3Safari37.36UAccept:tettal.7HcHoa/ZktalF1.aplictioa/xal;q*09,iase*iCiPB99lictoBt94*ckaas3!taQ.9IbACee1.taCOdinCtzip.Mm1.Accept*1.atugeXbYKn:q2920Cmmctim:clowtBOTMtoAMBEBQao上CDMB
7、anlMCMIVMMi*MtoaM-二:jBt*wa-Ua-QMVB0*c*QWMtaMS CeRtifM*11.JbIbBnlf 3h4M4m*ItelaT,6twM:Xhmm IrttPJW1wm* lat)aSltcUft lrtt,(zMlM CeryTla3011.Tto”FaUtten 3mm4r1vT.BAGW” XMN*9911M0(fM1ImUtHrMCliwcg(八)EgllnDUPCTEeUf(!tt!*3IrwWw三().cM*ANilBicrwrtX*Jt11r*lcatfW!r4iMu)UfwWVA(utMt1.*lm4(MtM11f(*waMIM)IC,:(dl,
8、fMtimtQA,c)4tuRlteruy*Bs.f.c.k.ta.lMt.te!.1.pfeUf)trtaacecattntvpwrW*KriBt*:Kfc-:tJ.ftol.r-.afIj9ilr(lJ.If(t)kfl!.-f,m.wa.mMA(4*SMfvw*kT(r,4daZ*%U(f10)-rrAn.-aMlr,a,i,ifO)feelffMO*traft-iffr4)if*fl!c4awrvh*fkra*.I11FJ,,”:Wftaftjr*wv4ljb)fociaW(ke.Mlf4iUr*91Mk1mW4*fckfviicn(f)kBtFU)、g,J3“r,ltew*.f.c.
9、f(e*mHtwaoftr(4iArwA4ttw4kvei.vi.lftfiMW*!f:*.(d.e)rKImfmtl)rtI,】ld*IfzmuJMCHl)l(t:(.tvMf1-UUM*MkuT*mwUrl,ChM:Cyg.etaraIIfMr,MIartmfwitaafkcltypfc-*ttret-4sf(4laMrYU1.aVMCaWatiM.f41.viMSra,r-wlr),.1nu).M(hiMu(nv).*(dt*J(1.HjaMktr.apMa,jiii*r-mrw-iabvffmrrMibj01lf(Meaff)EBf.4Mbft.aMvarMF2MU(-*arMHMivtwwfea(a,MmcMjurlrkr.arfe:!l.Btarpar94l0lta!.hrwUaa,rarvat%drMBfvMtlBwlMMrtd4Ml*、,】H11WlM4*Ai1at*MrvlMv*l!*iIt*kmm!W.Im,r“一o-kMtaaMa.、KW三!tfa3w-*57W