常见web漏洞（awvs、nessus）验证方法小记-中危漏洞

最新推荐文章于 2025-11-19 10:54:28 发布

原创

最新推荐文章于 2025-11-19 10:54:28 发布 · 1.2w 阅读

55 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #nessus

文章目录

1.【中危】不安全的Javascript库（Vulnerable Javascript library）
2.【中危】缓慢的HTTP拒绝服务攻击（Slow HTTP Denial of Service Attack）
3.【中危】未加密的__VIEWSTATE参数（Unencrypted__VIEWSTATE parameter）
4.【中危】应用程序错误（Application error message）

1.【中危】不安全的Javascript库（Vulnerable Javascript library）

漏洞描述

SWFObject库

SWFObject是一个免费的开放源代码工具，用于在网站中嵌入swf内容，SWFObject在Internet Explorer中进行动态嵌入的方法，以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库，此版本的Javascript库报告了一个或多个漏洞

YUI库

Yahoo! UI Library (YUI) 是一个开放源代码的 JavaScript 函数库，为了能建立一个高互动的网页，它采用了AJAX, DHTML 和 DOM 等程式码技术。它也包含了许多 CSS 资源。网站正在使用不安全的YUI库，此版本的YUI库被报告了一个或多个漏洞

漏洞危害

SWF文件中存在安全漏洞

漏洞证明

用bp抓包访问url，寻找响应包内Javascript库版本
在这里插入图片描述

修复建议

升级到最新版本

2.【中危】缓慢的HTTP拒绝服务攻击（Slow HTTP Denial of Service Attack）

漏洞描述

对任何一个开放了http访问的服务器，建立一个连接，指定一个比较大的co

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

鱼翅的谷仓

关注关注

7
点赞
踩
55

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

未加密的视图(__VIEWSTATE)参数漏洞验证测试

afei001

01-17

4172

目录 1.前言 2.__VIEWSTATE视图参数未加密漏洞概述 3.漏洞验证 3.1 Burp抓包验证 3.2 ViewStateDecoder2工具验证 4.漏洞修复 1.前言前几天在对网站进行安全性测试时，AWVS漏扫发现未加密__VIEWSTATE视图参数漏洞。__VIEWSTATE参数未加密，增大了ViewState中存储的信息被窃取的风险。 afei 漏洞等级：中危 2.__VIEWSTATE视图参数未加密漏洞概述由于_...

常见网站安全漏洞处理

liudao1991的专栏

08-10

1万+

1. Sql盲注解决方法：添加过滤 2. Sql注入解决方法：修改底层代码消除参数化查询 3. iis文件与目录枚举/Directory listing 解决方法：禁止目录浏览 4. webdav目录遍历解决方法：http://www.45it.com/net/201208/31779.htm 5. _VIEWSTATE未加密解决...

1 条评论您还未登录，请先登录后发表或查看评论

【渗透测试】漏洞扫描AWVS安装使用教程，三分钟手把手教会，非常简单

最新发布

2401_85280106的博客

11-19

902

Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具，它可以扫描任何通过Web浏览器访问和遵循HITP/HTTPS规则的Web站点。AWVS原理是基于漏洞匹配方法，通过网络爬虫测试你的网站安全，检测流行安全AWVS可以检测什么漏洞，它有什么优势？AWVS可以通过SQL注入攻击、XSS（跨站脚本攻击）、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时，它能快速的发现漏洞来提高效率和漏洞覆盖面。

asp.net 处理原文件中过长的viewstate代码

10-29

asp.net网页原文件中总出现一段很长的viewstate代码看着就头痛所以在网上找了篇文章解决了这个问题，虽然VIEWSTATE没有完全隐藏，但大大的改善了网页源文件中VIEWSTATE的长度。

常见web漏洞（awvs、nessus）验证方法小记-低危漏洞

weixin_43875708的博客

03-12

1万+

文章目录1.【低危】未加密的连接（Unencrypted connection）漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密（主机漏洞）漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少HttpOnly标志（Cookie(s) without HttpOnly flag set）漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少secure属性（Cookie(s) wi...

安全测试重点思考(上)--AWVS使用/XSS漏洞复现

JennyXi2001的博客

04-03

1985

DVWA 一共包含了十个攻击模块，分别是：Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、- File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、SQL Injection（SQL注入）、SQL Injection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、XSS（Stored）（存储型跨站脚本）。

常见web漏洞（awvs、nessus）验证方法小记-高危漏洞

weixin_43875708的博客

03-12

2889

文章目录1.【高危】破窗漏洞（MS14-066）漏洞描述漏洞危害漏洞证明安装工具winshock利用方式结果修复建议 1.【高危】破窗漏洞（MS14-066）漏洞描述由于安全通道（Schannel）安全包对包的处理不当，远程Windows主机受到远程代码执行漏洞的影响。微软为此漏洞，更新了四种新的ssl加密，测试发现系统不支持此类加密漏洞危害攻击者可以通过将特制数据包发送到Windows服...

精选资源

nessus2024-04-07漏洞更新包all-2.0.tar.gz

04-07

离线更新包

精选资源

nessus2023-04-10漏洞更新包all-2.0.tar.gz

04-10

nessus2023-04-10漏洞更新包all-2.0.tar.gz以把插件包上传到服务器后，执行/opt/nessus/sbin/nessuscli update 插件包文件路径 Linux/Unix /opt/nessus/sbin/nessuscli fetch --register-offline nessus.license ...

【XSS漏洞-01】XSS漏洞简介、危害与分类及验证

VN520的博客

09-06

3471

定义/原理：跨站脚本（Cross-Site Scripting），本应该缩写为CSS，但是该缩写已被层叠样式脚本Cascading Style Sheets所用，所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。本质：是一种针对网站应用程序的安全漏洞攻击技术，是代码注入的一种。特点：XSS主要基于JavaScript。

Vulnerable Javascript library漏洞记录

NLstudy33的博客

09-26

1752

AWVS扫出来Vulnerable Javascript library漏洞，然后查询资料，验证漏洞，仅做记录。

Vulnerable Javascript library

热门推荐

笑到世界都狼狈的博客

06-25

1万+

首先说明一下，这个问题的由来：源于我们开发的项目送去上海检测，结果送检没通过，被打回来了，返回的结果有这么一条：Vulnerable Javascript library 然后字面翻译就是"脆弱的js"，对于小白的我来说，从来没遇到过这个问题，然后就赶紧百度，百度返回的结果是---------js插件库版本太低，升级就好了。那么问题来了，项目中用到那么多插件，总不至于让我把所有的插件都升级一遍吧，这样可能会死人的。。。。。接下来：我们部门做底层开发的同事安装了一下叫"nessus"的工具，帮我扫描

未加密的__VIEWSTATE参数（中危）

qq_44828901的博客

12-29

7110

复现危害较低的漏洞：未加密的__VIEWSTATE参数

记录一个等保二的项目的漏洞处理

Admans的专栏

07-07

2720

Clickjacking是一种恶意技术，它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西，从而可能泄露机密信息或控制他们的计算机，同时点击看似无害的网页。此外，当用于保护传入或传出网站的敏感信息时，TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件，用记事本打开，将 debug 属性更改为 false 以禁用该应用程序的调试。

【中危】未加密的__VIEWSTATE参数

默默提升实验室

11-17

7495

【中危】未加密的__VIEWSTATE参数

工具Acunetix web scanner 扫描的漏洞修复

qq_31949853的博客

12-17

4955

1、HTML form without CSRF protection 解决：添加一个 <input type="hidden" name="session" autocomplete="off" class="layui-input" value="12345"/> 其中value的值是从后台传递过来的，提交表单时验证 2、User credentials are se

ASP.NET页面中的"__VIEWSTATE"隐藏域

lvzenghui的专栏

04-17

573

这是由于使用了服务器端表单的原因，去掉form标签中的 Runat="Server" 即可，但这样也就不能在页面中使用服务器端的控件了。

解决未加密的__VIEWSTATE参数

ilqgffvramusm2864的博客

05-08

1001

是 ASP.NET Web Forms 中用于在页面回发时保持状态的一个隐藏字段。它本质上是一个序列化后的字符串，包含了页面控件的状态信息。为了防止篡改和确保数据的完整性，ASP.NET 提供了。如果没有显式配置，ASP.NET 会使用自动生成的。并启用加密和验证能做到更好的加固。参数问题，只需要要执行第2步骤启用加密即可。的完整性验证已启用。，这可能在多服务器环境中导致一致性问题。在 ASP.NET 应用程序中，进行加密和验证是非常重要的。即使启用了加密，仍然需要确保。的处理方式可能有所不同。