在某些預設的 Drupal 安裝中，有一些方法可允許攻擊者列舉作者的使用者名稱。然後，在針對登入表單的暴力密碼破解或字典攻擊中，攻擊者可能會使用此資訊來猜測密碼。

在預設的 Joomla! 安裝中，可使用現有方法來列舉使用者資訊。在針對 Joomla! 登入頁面的暴力密碼破解攻擊中，攻擊者可能會利用這些 Joomla! 使用者來猜測密碼。

這是資訊外掛程式，可通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Joomla 使用者登錄表單。

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介。

這是資訊外掛程式，可通知使用者掃描程式在目標應用程式上偵測到可公開存取的 WordPress 使用者登錄表單。

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介。

這是資訊外掛程式，可通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Drupal 使用者登錄表單。

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介。

在目標 Web 應用程式上偵測到 Drupal 管理面板，

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介，進而允許攻擊者取得管理功能的存取權。

在目標 Web 應用程式上偵測到 WordPress 管理面板，

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介，進而允許攻擊者取得管理功能的存取權。

Joomla! 在目標 Web 應用程式上偵測到管理面板，

這可能會向攻擊者顯示可透過使用其他技術 (例如暴力密碼破解或字典攻擊) 利用的攻擊媒介，進而允許攻擊者取得管理功能的存取權。

這是資訊外掛程式，用於通知使用者架構在目標應用程式上偵測到哪些技術，然後可以檢查並確認已知有弱點的軟體版本

Web 應用程式偶爾會使用 DOM 輸入值來儲存用戶端重新導向目標頁面的位址，例如：`yoursite.com/#/?redirect=www.yoursite.com/404.asp`

如果用戶端能夠修改受影響的參數值並因此控制重新導向的位置，就會發生未經驗證的重新導向。例如，下列 URL「yoursite.com/#/?redirect=www.anothersite.com」會重新導向至「www.anothersite.com」。

網路不法份子會在社交工程攻擊中濫用這些弱點，讓使用者在不知情的情況下造訪惡意網站。

掃描程式發現在將用戶端重新導向至插入值之前，網頁未驗證參數值。

在未進行任何清理的情況下將未受信任的資料插入回應標頭時，會發生 HTTP 回應分割。

若攻擊成功，網路不法份子基本上可將 HTTP 回應一分為二。

網路不法份子會濫用此弱點來插入 CR (Carriage Return -- `/r`) 和 LF (Line Feed - `\n`) 字元，然後形成分割字元。如果伺服器未處理 CR 或 LF 字元，則不法分子無法利用此弱點。

除了這些字元，網路不法份子還可以建構自己的任意回應標頭和內文，進而形成第二個回應。第二個回應則完全在其控制之下，可以用來執行很多其他攻擊。

Web 應用程式偶爾會使用參數值來儲存伺服器稍後需要用到的檔案位置。

在錯誤頁面中經常可看到這方面的例子，例如，錯誤頁面的實際檔案路徑儲存在 `example.com/error.php?page=404.php` 參數值中。

當參數值 (即伺服器呼叫的檔案路徑) 可以用位於應用程式工作目錄之外的其他資源的相對路徑取代時，會發生路徑遊走。接著，伺服器會載入該資源，並將其內容包含在對用戶端的回應中。

網路不法份子會濫用此弱點，檢視本應無法存取的檔案。

*nix 伺服器上的一個非常常見的例子是，取得 `/etc/passwd` 檔案的存取權，以擷取伺服器使用者清單。此攻擊將如下所示：`yoursite.com/error.php?page=../../../../etc/passwd`

由於路徑遊走是以相對路徑為基礎，因此承載必須先遊走至檔案系統的根目錄，也就是「../../../../」字串。

掃描程式發現可以將參數值取代為一般作業系統檔案的相對路徑，並將檔案內容包含在回應中。

掃描程式發現受影響的網站同時使用 HTTP 和 HTTPS。透過 HTTPS 提供 HTML 程式碼時，伺服器也會透過未加密的通道提供資源，這可導致資料遭到入侵，同時為使用者提供虛假的安全感。

為限制 Web 伺服器上特定頁面的存取，開發人員可以實作多種驗證方法，僅允許存取具有有效憑證的用戶端。有多種驗證形式可供使用。最簡單的驗證形式稱為「基本驗證」和「基本領域驗證」，這些驗證方法有數個已知弱點，例如容易遭受暴力密碼破解攻擊。

此外，在 Windows 環境中使用 NTLM 機制時，存在數個資訊洩漏弱點。如果 Web 伺服器是網域成員，則伺服器的本機使用者或網域使用者會遭到暴力密碼破解攻擊。

網路不法份子會嘗試找出受保護的頁面以取得存取權，並執行暴力密碼破解攻擊以發現有效憑證。

掃描程式發現下列頁面需要通過以 NTLM 為基礎的基本驗證才能存取。

偵測到頁面上正在使用的任何已知 CAPTCHA 產品。

許多 Web 應用程式的設計要求使用者能夠上傳將由接收 Web 伺服器儲存或處理的檔案。

掃描程式並未將此標記為弱點，而是提示滲透測試人員對檔案上傳功能進行進一步的手動測試。

網路不法份子可能會濫用不安全的表單型檔案上傳功能，成功地直接利用伺服器和/或之後可能存取檔案的任何第三方。如果上傳含有伺服器端程式碼 (例如 PHP) 的檔案，然後在用戶端要求時執行該程式碼，則可能會發生此情況。

掃描程式偵測到通用系統管理介面。

瀏覽器安全性模型通常可防止某個網域的 Web 內容存取另一個網域的資料，這通常稱為「同源原則」。

URL 原則檔案授予跨網域讀取資料的權限，允許預設不允許的作業。根據預設，Silverlight 的 URL 原則檔案位於目標伺服器的根目錄中，名稱為「crossdomain.xml」 (例如，位於「www.example.com/crossdomain.xml」)。

在 `crossdomain.xml` 中指定網域時，網站宣告其願意允許該網域中任何伺服器的操作員取得原則檔案所在伺服器上的任何文件。

此網站上部署的「crossdomain.xml」檔案可將伺服器開放給所有網域 (支援使用單一星號「*」作為純萬用字元)。

瀏覽器安全性模型通常可防止某個網域的 Web 內容存取另一個網域的資料，這通常稱為「同源原則」。

URL 原則檔案授予跨網域讀取資料的權限，允許預設不允許的作業。根據預設，Silverlight 的 URL 原則檔案位於目標伺服器的根目錄中，名稱為「ClientAccessPolicy.xml」 (例如，位於「www.example.com/ClientAccessPolicy.xml」)。

在 `ClientAccessPolicy.xml` 中指定網域時，網站宣告其願意允許該網域中任何伺服器的操作員取得原則檔案所在伺服器上的任何文件。

此網站上部署的「ClientAccessPolicy.xml」檔案會將伺服器開放給所有網域 (支援使用單一星號「*」作為純萬用字元)，並且視套用的設定，可能允許透過 HTTP 存取 HTTPS 資源，這可能會將本應透過 HTTPS 保護的資料洩漏給第三方，並為攔截式攻擊提供便利。

對 Cookie 設定「secure」旗標時，瀏覽器會阻止透過純文字通道 (HTTP) 傳送 Cookie，只有在使用加密通道 (HTTPS) 時才允許傳送。

掃描程式發現伺服器設定了一個 Cookie，但未設定「secure」旗標。雖然此 Cookie 的初始設定是透過 HTTPS 連線傳送，但任何連至相同伺服器的 HTTP 連結都會導致 Cookie 以純文字傳送。

請注意，如果 Cookie 不包含敏感資訊，則此弱點的風險會降低。

HttpOnly 旗標可協助防止用戶端指令碼 (例如 JavaScript) 存取和使用 Cookie。

這有助於阻止以包含用戶端工作階段權杖的 Cookie 為目標發動的 XSS 攻擊 (設定 HttpOnly 旗標無法阻止或防禦 XSS 弱點本身)。

HTTP 本身是一種無狀態的通訊協定，因此伺服器無法判斷哪個用戶端執行了哪些要求，以及哪些用戶端經過驗證或未經驗證。

如果在標頭內使用 HTTP Cookie，Web 伺服器就可以識別每個個別的用戶端，並因此判斷哪些用戶端持有有效驗證，而哪些沒有。這些稱為「工作階段 Cookie」。

伺服器設定 Cookie 時 (傳送 HTTP 回應的標頭)，可設定數個旗標來設定 Cookie 的屬性，以及瀏覽器處理 Cookie 的方式。

其中一個旗標代表可使用 Cookie 的主機或網域。

當針對父網域而非主機設定 Cookie 時，這可能表示可使用相同的 Cookie 來存取該網域內的其他主機。雖然造成此問題的合理原因有很多，但也可能是設定錯誤擴大了可能的攻擊範圍。

Web 應用程式偶爾會使用參數值來儲存用戶端重新導向目標頁面的位址，例如：`yoursite.com/page.asp?redirect=www.yoursite.com/404.asp`

如果用戶端能夠修改要求中受影響的參數值並因此控制重新導向的位置，就會發生未經驗證的重新導向。例如，下列 URL「yoursite.com/page.asp?redirect=www.anothersite.com」會重新導向至「www.anothersite.com」。

發生重新導向的方式有多種：

1) 具有 3xx 狀態程式碼的回應會告知瀏覽器重新導向至「Location」標頭中的 URL

2) 具有「Refresh」標頭的回應會告知瀏覽器在設定的間隔 (可以是 0) 之後重新載入頁面。標頭可採用任意 URL 參數來載入

3) HTML <meta> 標籤可採用「http-equiv」屬性，以取代 HTTP 回應標頭。使用此屬性時，可以模擬「重新整理」

4) Javascript 用於將瀏覽器重新導向至任意 URL

網路不法份子會在社交工程攻擊中濫用這些弱點，讓使用者在不知情的情況下造訪惡意網站。

掃描程式發現在將用戶端重新導向至插入值之前，伺服器未驗證參數值。

掃描程式發現某些回應的狀態碼並非一般的 200 (正常)、301 (已永久移動)、302 (已找到) 和 404 (未找到) 代碼。這些代碼可提供有關 Web 應用程式行為的有用資訊，並找出任何要解決的意外回應。

有多種 HTTP 方法可用於 Web 伺服器 (「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」等等)。這些方法中的每一個皆執行不同的功能，且當允許在 Web 伺服器上使用時，每個方法都有相關的風險等級。

透過傳送 HTTP OPTIONS 要求和每個方法的直接 HTTP 要求，掃描程式會發現伺服器允許的方法。

ID	名稱	嚴重性
98209	Drupal 使用者列舉	medium
98208	Joomla! 使用者列舉	medium
98205	Joomla! 偵測到使用者登錄表單	info
98202	偵測到 WordPress 使用者登錄表單	info
98201	偵測到 Drupal 使用者登錄表單	info
98200	偵測到 Drupal 管理面板登入表單	low
98207	偵測到 Wordpress 管理面板登入表單	low
98206	Joomla! 偵測到管理面板登入表單	low
98059	偵測到的技術	info
98103	未經驗證的 DOM 重新導向	medium
98101	回應分割	medium
98100	路徑遊走	high
98091	混合資源偵測	medium
98088	暴露 Localstart.asp 頁面	low
98083	CAPTCHA 偵測	info
98080	表單型檔案上傳	info
98070	一般管理介面偵測	info
98068	不安全的跨網域原則 (allow-http-request-headers-from)	low
98067	不安全的跨網域原則 (allow-access-from)	low
98065	不安全的用戶端存取原則	low
98064	偵測到沒有 Secure 旗標的 Cookie	low
98063	偵測到沒有 HttpOnly 旗標的 Cookie	low
98062	父網域的 Cookie 集	info
98054	未經驗證的重新導向	medium
98050	有趣的回應	info
98047	允許的 HTTP 方法	info

偵測

Web App Scanning 的 Web Applications 系列

medium

medium

info

info

info

low

low

low

info

medium

medium

high

medium

low

info

info

info

low

low

low

low

low

info

medium

info

info