awvs 中低危漏洞

低危

  • X-Frame-Options Header未配置

查看请求头中是否存在X-Frame-Options Header字段

  • 会话Cookie中缺少secure属性(未设置安全标志的Cookie)

当cookie设置为Secure标志时,它指示浏览器只能通过安全SSL/TLS通道访问cookie。

  • 未设置HttpOnly标志的Cookie

当cookie设置为HttpOnly标志时,它指示浏览器cookie只能由服务器访问,保护cookie而不能由客户端脚本访问

  • 可能的敏感文件

这个洞有高危有低危,如果数据中存在账号密码等重要信息并且关联起来,可算高危。如果只是文件路径,或者一些普通信息,算低危~高危

中危

开启TLS1.0将导致PCI DSS不合规。

存在漏洞

  • 使用RC4密码套件

攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人进行会话劫持。

128就是有漏洞

  • 存在POODLE攻击(启用了SSLv3协议)

支持就是存在漏洞

  • 脆弱的Javascript库(javascript跨站脚本)

jQuery 3.4.0 以上版本不受漏洞影响。

  • 页面上的错误消息
  • 开启TRACE方法

在此Web服务器上启用了HTTP TRACE方法。如果Web浏览器中存在其他跨域漏洞,则可以从任何支持HTTP TRACE方法的域中读取敏感的标头信息。

  • JetBrains IDE workspace.xml文件泄露

这个漏洞具体是指目录下存在/.idea/文件夹,通过workspace.xml,可直接获取整个工程的目录结构,为后续渗透中收集信息。

  • jQuery跨站脚本

攻击者使用.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。在jQuery 1.6.3及之后得到修复。

相关推荐
极客先躯2 分钟前
高级java每日一道面试题-2026年04月18日-实战篇[Docker]-如何处理金融行业的时序数据容器化?
java·运维·docker·容器·金融·时序数据·高级面试
Csvn10 分钟前
页面「穿越」之谜:React 中因 key 值不正确导致的渲染 Bug 排查实战
前端
浅水壁虎11 分钟前
前端技术_TypeScript(第一章)
前端
liulilittle43 分钟前
论无知:分布式
服务器·网络·分布式·并发·通信·竞态
Web极客码43 分钟前
MariaDB 将成为 cPanel 中的默认数据库
服务器·mariadb·cpanel
HackTwoHub1 小时前
等级保护现场测评系统重磅更新,支持 AI 接入,可录入全品类资产清单,自动化巡检核查,批量导出测评归档文件
运维·人工智能·安全·web安全·网络安全·自动化·系统安全
川石课堂软件测试1 小时前
安全测试|服务器安全加固方法
服务器·功能测试·测试工具·jmeter·mysql·web安全·单元测试
2401_858286111 小时前
OS79.【Linux】POSIX信号量
linux·运维·服务器
laboratory agent开发1 小时前
企业AI Agent落地前,先回答四个工程问题
java·前端·人工智能
微三云 - 廖会灵 (私域系统开发)1 小时前
电商系统国际化架构设计:多语言、多币种、多时区、多税制的全链路实现
java·前端·数据库