客户需求
主要包括SOL注入、跨站脚本、CSRF、SSRF、任意文件上传、XML外部实体(XXE)注入、任意文件下载或读取、任意目录遍历、.svn/git源代码泄露、信息泄露等,第三方组件主要包括Fwebeditor、FCKeditor、UeditorJOuerv等常用第三方组件、本地/远程文件包含漏洞、任意代码执行、反序列化命令执行等。
业务逻辑安全
包括用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越 权访问、未授权访问、验证码缺陷等
中间件安全
包括中间件配置缺陷、中间件弱口令、Webloigc反序列化命令执行、Jboss反序列化命令执行、Websphere反序列化命令执行、Jenkins反序列命令执行、JBOSS远程代码执行、文件解析代码执行等。
服务器安全
包括域传送漏洞、Redis未授权访问、MangoDB未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。