滲透測試9種常見漏洞

　　漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。目前，安全漏洞多種多樣，造成的危害及影響也有高低之分，那么滲透測試常見漏洞有哪些?本文為大家介紹一下滲透測試9種常見漏洞，快來了解一下吧。

　　1、敏感信息泄露

　　由于網站運維人員疏忽，存放敏感信息的文件被泄露或由于網站運行出差導致敏感信息泄露。

　　2、SQL注入

　　SQL注入漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網站服務器存在安全風險，這就是SQLInjection，即SQL注入漏洞。

　　3、XSS跨站腳本

　　XSS跨站腳本漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網站服務器存在安全風險。

　　4、目錄遍歷

　　通過該漏洞可以獲取系統文件及服務器的配置文件。利用服務器API，文件標準權限進行攻擊。

　　5、文件上傳漏洞

　　網站存在任意文件上傳漏洞，文件上傳功能沒有進行格式限制，容易被黑客利用上傳惡意腳本文件。

　　6、弱口令漏洞

　　弱口令沒有嚴格和標準的定義，通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令。有后臺管理員弱口令，用戶弱口令，主機系統弱口令，路由器弱口令，交換機弱口令等。

　　7、代碼執行漏洞

　　遠程代碼執行漏洞，用戶通過瀏覽器提交執行命令，由于服務器端沒有針對執行函數做過濾，導致服務器端程序執行一個惡意構造的代碼。

　　8、命令執行漏洞

　　命令執行漏洞是指代碼未對用戶可控參數做過濾，導致直接帶入執行命令的代碼中，對惡意構造的語句，可被用來執行任意命令。

　　9、文件包含

　　文件包含漏洞多數情況出現在PHP中，當然JSP中也存在，文件包含分為本地包含與遠程包含。