漏洞覆盖
通用漏洞覆盖
漏洞等级 | 漏洞类型 |
|---|---|
| 高危漏洞 | 注入类型(EL表达式、HQL、JNI、LDAP、NoSQL、SMTP、Sql、Xpath、反射、命令执行)、服务器端请求伪造、不安全的 XML Decode、路径穿越、 不安全的JSON反序列化 |
| 中危漏洞 | 反射型 XSS、XXE |
| 低危漏洞 | Cookie 未设置 Secure、Header 头注入、Regular Expression DoS、弱随机数算法、弱哈希算法、弱加密算法、不安全的 readline、不安全的重定向、 不安全的转发、 点击劫持 |
| 提示信息 | 缺少 Content-Security-Policy 响应头、缺少 X-Content-Type-Options 响应头、缺少 X-XSS-Protection 响应头、不正确的 Strict-Transport-Security 配置 |
Agent 通用漏洞覆盖
漏洞等级 | 漏洞类型 | Java | Python | PHP | Go |
|---|---|---|---|---|---|
| 高危 | SQL 注入 | ✅ | ✅ | ✅ | ✅ |
| HQL 注入 | ✅ | ||||
| JNI 注入 | ✅ | ||||
| LDAP 注入 | ✅ | ✅ | |||
| NoSql 注入 | ✅ | ✅ | |||
| SMTP 注入 | ✅ | ||||
| XPath 注入 | ✅ | ||||
| 反射注入 | ✅ | ||||
| 表达式注入 | ✅ | ||||
| OGNL 注入 | ✅ | ||||
| JNDI 注入 | ✅ | ||||
| 命令执行 | ✅ | ✅ | ✅ | ✅ | |
| 不安全的反序列化 | ✅ | ✅ | ✅ | ||
| 服务器端请求伪造(SSRF) | ✅ | ✅ | ✅ | ||
| 路径穿越 | ✅ | ✅ | ✅ | ✅ | |
| 代码执行 | ✅ | ✅ | |||
| 硬编码检测 | ✅ | ||||
| 敏感信息泄漏 | ✅ | ✅ | ✅ | ||
| 文件包含 | ✅ | ||||
| 中危 | XXE | ✅ | ✅ | ||
| 反射型 XSS | ✅ | ✅ | ✅ | ✅ | |
| 不安全的 XML Decode | ✅ | ||||
| Header 头注入 | ✅ | ✅ | |||
| 低危 | 点击劫持 | ✅ | ✅ | ||
| 正则 DoS | ✅ | ✅ | |||
| CORS Misconfiguration | ✅ | ✅ | |||
| 数据明文传输 | ✅ | ✅ | |||
| 弱加密算法 | ✅ | ✅ | |||
| 弱哈希算法 | ✅ | ||||
| 弱随机数算法 | ✅ | ||||
| 不安全的 Readline | ✅ | ||||
| 信任边界 | ✅ | ||||
| 提示 | Cookie 未设置 Secure | ✅ |
测试靶场
| Agent | 靶场 |
|---|---|
| Java | Dubbo RPC、OpenRASP 靶场、OWASP Webgoat |
| Python | DockerVulspace |
| PHP | PHPVul |
| Go | Dongtai-govwa |