渗透测试9种常见漏洞

　　漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。目前，安全漏洞多种多样，造成的危害及影响也有高低之分，那么渗透测试常见漏洞有哪些?本文为大家介绍一下渗透测试9种常见漏洞，快来了解一下吧。

　　1、敏感信息泄露

　　由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出差导致敏感信息泄露。

　　2、SQL注入

　　SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险，这就是SQLInjection，即SQL注入漏洞。

　　3、XSS跨站脚本

　　XSS跨站脚本漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险。

　　4、目录遍历

　　通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API，文件标准权限进行攻击。

　　5、文件上传漏洞

　　网站存在任意文件上传漏洞，文件上传功能没有进行格式限制，容易被黑客利用上传恶意脚本文件。

　　6、弱口令漏洞

　　弱口令没有严格和标准的定义，通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。有后台管理员弱口令，用户弱口令，主机系统弱口令，路由器弱口令，交换机弱口令等。

　　7、代码执行漏洞

　　远程代码执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致服务器端程序执行一个恶意构造的代码。

　　8、命令执行漏洞

　　命令执行漏洞是指代码未对用户可控参数做过滤，导致直接带入执行命令的代码中，对恶意构造的语句，可被用来执行任意命令。

　　9、文件包含

　　文件包含漏洞多数情况出现在PHP中，当然JSP中也存在，文件包含分为本地包含与远程包含。

　　更多网络安全内容，推荐关注老男孩教育网络安全培训课程。老男孩网络安全培训课程由经验丰富的老师亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班总有一款适合你。想学网络安全，点击链接(https://www.oldboyedu.com/video_library.html)进入网络安全自学视频开始学习吧。

　　推荐阅读：

　　7款免费好用的开源Web漏洞扫描工具!

　　什么是等保2.0?哪些行业需要开展等保2.0?

　　常见的webshell工具，你会选择哪一个?