WEB应用系统安全评估参考手册.pdfVIP

整理者：Vlan911仅供内部学习使用，请勿用于非法用途

WEB应用系统

安全评估参考手册

写在前面：

此手册仅供内部人员学习参考，适用于公司内部安全评估参考，此手册不涉

及任何获取webshell方法、非法渗透方法、不提供任何具有危害性的POC、木马

等，仅供参考，请勿用于非法用途。

1

整理者：Vlan911仅供内部学习使用，请勿用于非法用途

目录

1.1.信息泄漏5

1.1.1.敏感信息泄漏5

1.1.2.备份文件残留7

1.1.3.入侵痕迹残留7

1.1.4.目录遍历漏洞8

1.1.5.参数溢出8

1.1.6.任意文件下载9

1.1.7.Github源码泄露11

1.2.信息猜解11

1.2.1.短信验证码可预测11

1.2.2.用户名枚举13

1.2.3.弱口令漏洞13

1.2.4.存在默认口令14

1.2.5.存在空口令15

1.3.防护功能失效16

1.3.1.登录认证绕过16

1.3.2.万能密码18

1.3.3.关键逻辑判断前端验证19

1.3.4.图形验证码可自动获取22

1.3.5.会话重用23

1.3.6.会话固定24

1.3.7.服务器端请求伪造（SSRF）25

1.3.8.客户端跨站请求伪造（CSRF）26

1.4.业务逻辑漏洞27

1.4.1.密码修改/重置流程跨越27

1.4.2.密码重置漏洞30

1.4.3.登录处越权31

1.4.4.越权34

1.4.5.支付逻辑漏洞36

2

整理者：Vlan911仅供内部学习使用，请勿用于非法用途

1.5.重放攻击38

1.5.1.短信炸弹38

1.5.2.邮件炸弹39

1.6.权限缺失39

1.6.1.Jsonp跨域39

1.6.2.未验证的URL跳转41

1.6.3.未授权访问42

1.7.综合利用43

1.7.1.SQL注入43

1.7.2.跨站脚本攻击（XSS）49

1.7.3.XXE漏洞51

1.7.4.命令注入52

1.7.5.任意文件上传54

1.7.6.log4j远程代码执行漏洞57

1.7.7.XPATH注入攻击59

1.7.8.LDAP注入攻击61

1.8.中间件/框架相关漏洞62

1.8.1.WebLogic远程代码执行漏洞（CVE-2020-14882）62

1.8.2.WeblogicXMLdecoder反序列化漏洞（CVE-2017-10271）64

1.8.3.weblogic反序列化远程代码执行(cve-2019-2725)65

1.8.4.weblogicSSRF(cve-