标签:
一:网站程序存在的漏洞
1. 注入漏洞
2. 上传文件格式验证不完善
3. 参数可写入文件——构造一句话
4. mdb数据库改用ASP\ASA等名字作为数据库扩展名(添加防下载代码)
5. 后台显示数据库路径
6. 数据库可备份修改扩展
7. 文件管理部分传递参数过滤问题及外部提交
8. XSS漏洞骗取cookies得到后台权限
9. 任意文件下载漏洞
10. 远程包含漏洞
11. 使用未加密的cookies进行用户权限等级及权限验证
12. session被构造欺骗
标签:
原文地址:http://www.cnblogs.com/test404/p/5402782.html