一、常见安全漏洞

服务器类安全漏洞：     

        服务器含服务器软件类型较多，此次不再一一列举；

WEB访问类安全漏洞：     

        XSS漏洞检测 (key: xss)     

        SQL 注入检测 (key: sqldet)     

        命令/代码注入检测 (key: cmd-injection)     

        目录枚举 (key: dirscan)     

        路径穿越检测 (key: path-traversal)     

        XML 实体注入检测 (key: xxe)     

        文件上传检测 (key: upload)     

        弱口令检测 (key: brute-force)     

        jsonp 检测 (key: jsonp)     

        ssrf 检测 (key: ssrf)     

        基线检查 (key: baseline)     

        任意跳转检测 (key: redirect)     

        CRLF 注入 (key: crlf-injection)

二、常用工具

国内：

绿盟（WVSS）： https://www.nsfocus.com.cn/html/2019/206_0911/8.html

安恒（明鉴）： https://www.dbappsecurity.com.cn/show-63-38-1.html

知道创宇（websoc）： https://scanv.yunaq.com/websoc/index.html

启明星辰（天镜）： https://www.venustech.com.cn/article/type/1/253.html

奇安信（网神SecVSS 3600）： https://www.qianxin.com/product/detail/pid/1

天融信： http://www.topsec.com.cn/product/63.html

长亭： https://www.chaitin.cn/zh/xray

国外：

AWVS： http://wvs.evsino.com/

Nessus： https://www.tenable.com/downloads/nessus

Appscan： https://ibm-security-appscan-standard.software.informer.com/8.7/

Netsparker： https://www.netsparker.com/

Webinspect： https://www.microfocus.com/

WebReaver： https://webreaver.com/

xray：扫描检测WEB访问类安全漏洞，有免费版可用，需要适当学习；

wvs：扫描检测WEB访问类安全漏洞，有破解版可用，需要自己破解和适当学习；

nessus：服务器类安全漏洞，有破解版可用，需要自己破解和适当学习；

三、xray使用总结

注意事项： xray会拦截经过代理的所有请求，然后模拟请求反复向服务器验证是否存在安全漏洞，对于增删改操作，会造成脏数据等问题，同时影响系统性能，所以尽可能在测试环境进行漏洞扫描，如果在生产环境扫描，须征得客户同意，选择非工作时间，做好数据库备份；

四、项目遇到的问题总结

五、过滤器（filter）解决CROS问题