滲透測試常見的漏洞有哪些?這五類最常見！

　　滲透測試常見的漏洞有哪些?其中包括：注入漏洞、檔案上傳漏洞、檔案包含漏洞、命令執行漏洞等，接下來我們來看看詳細的介紹。

　　第一：注入漏洞

　　由於其普遍性和嚴重性，注入漏洞位居漏洞排名第一位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGML。使用者可以透過任何輸入點輸入構建的惡意程式碼，如果應用程式沒有嚴格過濾使用者的輸入，一旦輸入的惡意程式碼作為命令或者查詢的一部分被髮送到解析器，就可能導致注入漏洞。

　　第二：跨站指令碼漏洞

　　XSS漏洞的全稱是跨站點指令碼漏洞。XSS漏洞是網路應用程式中常見的安全漏洞，它允許使用者將惡意程式碼植入網頁，當其他使用者訪問此頁面時，植入的惡意指令碼將在其他使用者的客戶端執行。危害有很多，客戶端使用者的資訊可以透過XSS漏洞獲取，比如使用者登入的Cookie資訊;資訊可以透過XSS蝸牛傳播;木馬可以植入客戶端;可以結合其他漏洞攻擊伺服器，並在伺服器中植入木馬。

　　第三、檔案上傳漏洞

　　造成檔案上傳漏洞的主要原因是應用程式中有上傳功能，但上傳的檔案沒有透過嚴格的合法性檢查或者檢查功能有缺陷，導致木馬檔案上傳到伺服器。檔案上傳漏洞危害極大，因為惡意程式碼可以直接上傳到伺服器，可能造成伺服器網頁修改、網站暫停、伺服器遠端控制、後門安裝等嚴重後果。

　　第四、檔案包含漏洞

　　檔案包含漏洞中包含的檔案引數沒有過濾或嚴格定義，引數可以由使用者控制，可能包含意外檔案。如果檔案中存在惡意程式碼，無論檔案是什麼字尾型別，檔案中的惡意程式碼都會被解析執行，導致檔案包含漏洞。

　　第五、命令執行漏洞

　　應用程式的某些函式需要呼叫可以執行系統命令的函式。如果這些功能或者功能的引數可以被使用者控制，那麼惡意的命令就有可能透過命令聯結器拼接成正常的功能，從而可以隨意執行系統命令。這就是命令執行漏洞，屬於高風險漏洞之一。