web应用常见的其他漏洞总结

1.暴力破解用户名和密码

admin:admin, test:test, weblogic:weblogic, root:passwd

2. 扫敏感目录及备份文件

以ation 为扩展名的文件,通过7kb和k8,破壳扫描,扫描出来一个Web.rar文件,可获取MSSQL     SSA连接用户名密码,通过测试数据库可远程连接。
config.inc配置文件,通过破壳7Kb扫描可以直接获取密码value后面为密码
        

web应用常见的其他漏洞总结_第1张图片

配置文件 

web应用常见的其他漏洞总结_第2张图片

3.PhpMyadmin的万能密码

 输入localhost’@'@”即可绕过phpmyadmin的登录入口。
在这里输入2.11.2.1可以绕过 

web应用常见的其他漏洞总结_第3张图片

web应用常见的其他漏洞总结_第4张图片

4. 报错页面的图片也是可以存在反射型XSS的

拼接单引号报错,先XSS弹窗,然后WAF再提示“信息提示:请不要提交恶意字符”
 http://xxxxxx.com/BICP/framework/images/mainSkin/mainFrm/errorIcon.png”   是图片出现xss漏洞
>

你可能感兴趣的:(漏洞相关,安全,web安全,网络,系统安全)