| 細節描述: |
1.Improper Neutralization of Special Elements Used in a Command(Command Injection): 攻擊者可以利用 URL 參數注入Command 進行攻擊。
2. Cross-Site Request Forgery (CSRF): 攻擊者進行 CSRF
攻擊繞過身分驗證來查看、刪除任意檔案,或是上傳惡意檔案等。
3. Inadequate Encryption Strength: 使用弱加密的方式傳送訊息,可以透過暴力攻擊來取得用戶的資訊。
4. Predictable seed in pseudo-random number generator:
使用者登入時的信息(cookie, challenge, public key), 是由一個 function 所生成random seed進行加密,但該function中將登錄時間設為random seed,使攻擊者可以輕易破解。
5. Cleartext storage of sensitive information: 在 PHP 頁面中使用明文儲存管理者密碼。
6. Cleartext transmission of sensitive information:使用明文的方式傳輸,攻擊者可以攔截封包來竊取使用者的資訊。
以上皆可能導致駭侵者利用漏洞執行任意程式碼。
|