常见web漏洞（awvs、nessus）验证方法小记-低危漏洞

最新推荐文章于 2025-11-13 07:45:00 发布

原创

最新推荐文章于 2025-11-13 07:45:00 发布 · 1.5w 阅读

90 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #nessus #http #https

文章目录

1.【低危】未加密的连接（Unencrypted connection）
2.【低危】SSL弱加密（主机漏洞）
3.【低危】Cookie中缺少HttpOnly标志（Cookie(s) without HttpOnly flag set）
4.【低危】Cookie中缺少secure属性（Cookie(s) without Secure flag set）
5.【低危】X-Frame-Options Header未配置（Clickjacking: X-Frame-Options header missing）
6.【低危】密码字段明文传输（基于HTTP连接的登录请求）
7.【低危】敏感目录

1.【低危】未加密的连接（Unencrypted connection）

漏洞描述

目标是通过未加密的连接连接到的。潜在的攻击者可以拦截和修改从该站点发送和接收的数据

漏洞危害

可能的敏感信息泄露

漏洞证明

bp抓包，httphistory
在这里插入图片描述

修复建议

应通过安全（HTTPS）连接发送和接收数据

2.【低危】SSL弱加密（主机漏洞）

漏洞描述

服务器SSL证书未进行安全加密，默认支持弱加密算法，攻击者可对SSL证书加密算法进行破解，盗取敏感信息

漏洞危害

攻击者可对SSL证书加密算法进行破解，盗取敏感信息

漏洞证明

利用nmap工具验证，语句：
nmap -p 3389 --script ssl-enum-ciphers www.xxxx.com
如图，SSL加密采用3DES加密，加密级别为C
在这里插入图片描述

修复建议

指定安全加密算法对SSL证书进行加密，加密级别应至少为A级

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

鱼翅的谷仓

关注关注

8
点赞
踩
90

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

WEB应用漏洞及修复汇总

专注企业信息安全－sec

11-23

1887

仅供参考 1.SQL注入风险等级：高危漏洞描述： SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险，这就是SQL Injection，即SQL注入漏洞。漏洞危害：机密数据被窃取；核心业务数据被篡改；网页被篡改；数据库所在服务器被攻击从而变为傀儡主机，导致局域网(内网)...

常见web漏洞（awvs、nessus）验证方法小记-高危漏洞

weixin_43875708的博客

03-12

2889

文章目录1.【高危】破窗漏洞（MS14-066）漏洞描述漏洞危害漏洞证明安装工具winshock利用方式结果修复建议 1.【高危】破窗漏洞（MS14-066）漏洞描述由于安全通道（Schannel）安全包对包的处理不当，远程Windows主机受到远程代码执行漏洞的影响。微软为此漏洞，更新了四种新的ssl加密，测试发现系统不支持此类加密漏洞危害攻击者可以通过将特制数据包发送到Windows服...

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

GG bond＃ 2023.09.03
这些都只能算低危吗

CVSS漏洞等级详解：从超危到低危的全面解析

最新发布

weixin_43172311的博客

11-13

1283

在网络安全领域，漏洞的严重程度直接影响系统的风险等级。为了统一评估标准，**通用漏洞评分系统（Common Vulnerability Scoring System, CVSS）**被广泛采用，它通过量化指标将漏洞划分为**超危（Critical）、高危（High）、中危（Medium）、低危（Low）**四个等级，帮助安全团队优先处理最紧迫的威胁。

一种绕过AppScan未加密漏洞的简单方法（附代码）

qq_42000667的博客

11-14

2061

本人描述了一种如何在http下实现password等confidential信息的传输，并能绕过appscan未加密漏洞报告的简单方法，并附与代码。

常见web漏洞（awvs、nessus）验证方法小记-中危漏洞

weixin_43875708的博客

03-12

1万+

1.【中危】不安全的Javascript库（Vulnerable Javascript library）漏洞描述 SWFObject库 SWFObject是一个免费的开放源代码工具，用于在网站中嵌入swf内容，SWFObject在Internet Explorer中进行动态嵌入的方法，以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库，此版本的Javascript库报告了...

Docker 安装 AWVS 与 Nessus（2023/12/14）

xiaoQQya的博客

12-14

3109

Docker 安装 AWVS 与 Nessus

Ubuntu用docker安装AWVS和Nessus(含破解)

2401_86178618的博客

11-02

1924

（2）访问https://zh-cn.tenable.com/products/nessus/nessus-essentials网站，获取激活码。然后，访问https://plugins.nessus.org/v2/offline.php网站，输入挑战码和激活码。其中，下载的插件软件包名为all-2.0.tar.gz，许可协议文件名文nessus.license。然后，将下载的插件文件和许可协议文件复制到Nessus的/opt/nessus/sbin目录下，执行如下命令更新插件。Ubuntu安装AWVS。

精选资源

nessus2024-04-07漏洞更新包all-2.0.tar.gz

04-07

离线更新包

精选资源

nessus2023-04-10漏洞更新包all-2.0.tar.gz

04-10

nessus2023-04-10漏洞更新包all-2.0.tar.gz以把插件包上传到服务器后，执行/opt/nessus/sbin/nessuscli update 插件包文件路径 Linux/Unix /opt/nessus/sbin/nessuscli fetch --register-offline nessus.license ...

在docker容器中使用awvs+Nessus(已更新)

-dawei-

04-28

4210

2022年4月21日上午10:39:59 • Docker专题 • 阅读 13 //docker pull拉取镜像到本地 docker pull secfa/docker-awvs //将宿主机的13443端口映射到Docker容器的3443端口 docker run -it -d -p 13443:3443 secfa/docker-awvs //访问容器所在宿主机的IP地址 https://你的IP地址:13443 登录界面： //输入账号信息后登录admin@a

AWVS漏洞扫描

07-20

web应用及系统扫描工具

Nessus+awvs12二合一版本.txt

06-10

Nessus+awvs12二合一版本

扫描---实验二：漏洞扫描之Nessus

weixin_70557959的博客

05-05

9459

目录一、实验目的及要求二、实验原理三、实验环境拓扑如下图所示：四、实验步骤及内容 4.1Nessus的使用 4.2 Policies 五、实验总结六、分析与思考一、实验目的及要求掌握漏洞扫描器Nessus的安装及使用对扫到的漏洞进行了解或者进一步的利用拿到权限二、实验原理漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。从防御的角度上考虑，...

Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别（介绍、测试对象对比、优劣对比、使用选择）

热门推荐

qq_37776764的博客

05-16

1万+

Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别（介绍、测试对象对比、优劣对比、使用选择）

【XSS漏洞-01】XSS漏洞简介、危害与分类及验证

2201_75735270的博客

05-29

697

（1）掌握XSS的攻击过程；（2）掌握XSS的分类及各类原理；（3）了解XSS的危害。（4）掌握XSS的验证。

你必须知道的漏扫工具AWVS&Nessus

mashiro_hibiki的博客

03-06

1945

AWVS全称"Acunetix Web Vulnerability Scanner"，他是市面上比较好的一款扫描器，他的优势在于快速扫描web应用的漏洞和较为简便的部署方式使得在很多场景中都能应用到。Docker容器与虚拟机类似，但二者在原理上不同。容器是将操作系统层虚拟化，虚拟机则是虚拟化硬件，因此容器更具有便携性、更能高效地利用服务器。容器更多的用于表示软件的一个标准化单元。由于容器的标准化，因此它可以无视基础设施（Infrastructure）的差异，部署到任何一个地方。

【网络安全】Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别（介绍、测试对象对比、优劣对比）

fly_enum的博客

12-27

2730

Nessus、AWVS、Appscan和OWASP漏洞扫描工具都是常用的安全测试工具，它们都可以帮助安全测试人员发现Web应用程序和网络中的漏洞。

【干货分享】Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别（介绍、测试对象对比、优劣对比）

yy1715713348的博客

06-30

883

IntroduceNessus、AWVS、Appscan和OWASP漏洞扫描工具都是常用的安全测试工具，它们都可以帮助安全测试人员发现Web应用程序和网络中的漏洞。Nessus是一款网络漏洞扫描工具，可以扫描网络上的漏洞，并对发现的漏洞进行评级和描述。它可以扫描广泛的操作系统、应用程序和网络设备，并支持扫描漏洞、风险和合规性。Nessus是一款功能强大的漏洞扫描器，但需要一定的技术水平和经验。

解决Cookie 具有缺失、不一致或矛盾属性

huan1213858的博客

12-07

5740

超详细Ubuntu用docker安装AWVS和Nessus

redmond88的博客

05-27

3364

首先安装docker，通过dockers镜像安装很方便，且很快；Docker及Docker-Compose-安装教程。