常见中间键通用漏洞原理

常见中间键通用漏洞原理

常见中间键通用漏洞原理包括以下几点：

1. 转发漏洞：中间件在转发请求时未正确验证请求参数，导致攻击者可以构造恶意请求直接访问后端服务和数据。

2. 注入漏洞：中间件在处理请求时未对输入数据进行充分过滤和验证，攻击者可以在请求参数中注入恶意代码，从而实现攻击目标。

3. 缓存漏洞：中间件在缓存数据或会话信息时，未能正确管理缓存，攻击者可以通过篡改或重放缓存的数据进行攻击。

4. 认证漏洞：中间件在身份验证时未正确处理登录请求和验证逻辑，攻击者可以通过修改或者重放身份验证信息绕过身份验证，从而访问敏感信息。

5. 代码执行漏洞：中间件在处理请求时存在代码注入漏洞。攻击者可以在请求中注入可执行的代码，导致中间件执行恶意代码。

6. 拒绝服务漏洞：中间件在处理请求时，未能防止攻击者发送大量恶意或无效请求，导致服务不可用。

常见的中间键漏洞：

1. IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞
2. Apache：解析漏洞、目录遍历
3. Nginx：文件解析、目录遍历、CRLF注入、目录穿越
4. Tomcat：远程代码执行、war后门文件部署
5. JBoss：反序列化漏洞、war后门文件部署
6. WebLogic：反序列化漏洞、SSRF任意文件上传、war后门文件部署
7. Apache Shiro反序列化漏洞： Shiro rememberMe（Shiro-550）、Shiro Padding Oracle
8. Attack(Shiro-721)