本资源摘要信息为 2023 年攻防演练必修高危漏洞集合，涵盖了近两年来攻防演练期间红队最常利用的高危漏洞。该集合包含了详细的漏洞基础信息、检测规则和修复方案，旨在帮助企业在攻防演练前期进行自我风险排查，降低因高危漏洞而“城池失守”的风险。 一、 HW 必修高危漏洞集合 HW 必修高危漏洞集合涵盖了泛微 e-cology9 FileDownloadForOutDoc SQL 注入漏洞、Smartbi 登录代码逻辑漏洞、nginxWebUI 远程命令执行漏洞、Smartbi 商业智能软件绕过登录漏洞、Openfire 身份认证绕过漏洞、畅捷通 T+ 前台远程命令执行漏洞、Nacos 反序列化漏洞、GitLab 路径遍历漏洞、Apache RocketMQ 命令注入漏洞、海康威视 iVMS-8700 综合安防管理平台软件文件上传漏洞、泛微 e-cology9 用户登录漏洞、Foxit PDF Reader/Editor exportXFAData 远程代码执行漏洞、Grafana JWT 泄露漏洞、Apache Superset 会话认证漏洞、Apache Druid 远程代码执行漏洞、Apache Solr 远程代码执行漏洞等多个高危漏洞。 二、高危漏洞风险 高危漏洞一直是企业网络安全防护的薄弱点，也成为攻防演练期间红队的重要突破口。这些高危漏洞的存在会导致企业防御体系被突破、甚至靶标失守。 三、高危漏洞防护措施 为了防止高危漏洞的存在对企业造成风险，可以采取以下措施： 1. timberline 漏洞扫描，检测企业资产中的高危漏洞。 2. 根据检测结果，进行漏洞修复和配置封堵策略。 3. 实施安全 patches 和更新，以修复已知漏洞。 4. 加强安全意识和员工培训，提高企业安全防护能力。 四、结论 本资源摘要信息旨在帮助企业在攻防演练前期进行自我风险排查，降低因高危漏洞而“城池失守”的风险。通过了解这些高危漏洞，并采取相应的防护措施，企业可以提高自己的网络安全防护能力，降低攻防演练期间的风险。

常见的网站漏洞集合，利用代码、利用工具以及漏洞的技术分析

Web安全学习大纲 一、Web安全系列之基础 1、Web安全基础概念（1天） 互联网本来是安全的，自从有了研究安全的人之后，互联网就变的不安全了。 2、web面临的主要安全问题（2天） 客户端：移动APP漏洞、浏览器劫持、篡改 服务器：DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容 3、常用渗透手段（3天） 信息搜集：域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING 扫描器扫描：Nmap、AWVS、Burp Suite、在线扫描器 权限提升 权限维持 二、Web安全系列之漏洞 1、漏洞产生原因（1天） 漏洞就是软件设计时存在的缺陷，安全漏洞就是软件缺陷具有安全攻击应用方面的价值。软件系统越复杂，存在漏洞的可能性越大。 2、漏洞出现哪些地方？（2天） 前端静态页面 脚本 数据 服务：主机、网络 系统逻辑 移动APP 3、常见漏洞（3天） SQL注入：布尔型注入、报错型注入、可联合查询注入、基于时间延迟注入。 XSS（跨站脚本攻击）：反射型XSS、存储型XSS、DOM XSS CSRF（跨站请求伪造） SSRF（服务器端请求伪造） 文件上传下载：富文本编辑器 弱口令： X-Scan、Brutus、Hydra、溯雪等工具 其它漏洞： 4、逻辑漏洞（3天） 平行越权 垂直越权 任意密码重置 支付漏洞：0元购 接口权限配置不当： 验证码功能缺陷： 5、框架漏洞（2天） struts2漏洞、Spring远程代码执行漏洞、Java反序列化漏洞 6、建站程序漏洞（1天） Discuz漏洞、CMS漏洞等 三、Web安全系列之防御 1、常见防御方案（1天） 2、安全开发（2天） 开发自检、测试自检、部署自检 开发工具：安全框架Spring security、 shiro、Spring boot 3、安全工具和设备（2天） DDos防护、WAF、主机入侵防护等等 4、网站安全工具（1天） 阿里云、云狗、云盾 网站在线检测：http://webscan.360.cn/ https://guanjia.qq.com/online_server/webindex.html http://www.51testing.com/zhuanti/selenium.html Selenium是一个用于Web应用程序测试的工具