看描述非常全面,适合对于Java站的安全学习,毕竟Java站还是跟PHP站在某些方面是不一样的
Burt Force(暴力破解漏洞)
XSS(跨站脚本漏洞)
CSRF(跨站请求伪造)
SQL-Inject(SQL注入漏洞)
RCE(远程命令执行)
任意文件上传
任意文件下载
目录遍历漏洞
JAVA反序列化漏洞
XXE(XML实体注入漏洞)
不安全的URL重定向
SSRF(服务器端请求伪造)
SPEL(表达式注入)
SSTI(模板注入)
文件包含漏洞
敏感信息泄露漏洞
越权漏洞
红队行动中利用白利用、免杀、自动判断网络环境生成钓鱼可执行文件,感觉这一套自动化实现还真不错,先Mark上