信息泄露: 配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血。
错误配置:Webserver配置失误、中间件配置失误、容器配置失误。
前端漏洞:XSS、CSRF、ClickJacking、Jsonp劫持、HTTP头注入CRLF、URL跳转。
逻辑漏洞:JSONP数据劫持、身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻辑、业务授权(水平/垂直越权)安全、业务流程乱序、业务接口调用安全。
弱口令:FTP、SSH、RDP、SMP、SMTP、POP3、IMAP MYSQL、MSSQL、MongoDB、Memcahe、Redis、ORACLE、Subversion、PPTP、VPN、WebFrom登录表单。
Web注入漏洞:SQL注入、命令注入、代码注入、SSRF网络注入、表达式注入、JAVA EL表达式注入命令执行、反序列化、XPATH注入。
文件包含漏洞:文件包含(LFI/RFI)、任意文件读取、任意文件上传、XXE、任意文件删除。