滲透測試常見的9大漏洞，你知道幾個？

　　漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。目前，常見的安全漏洞有很多，攻擊手段不同，且危害性也有高低之分，本文為大家介紹一下滲透測試常見的9大漏洞，希望大家能夠認真觀看，知己知彼，才能百戰百勝。

　　1、敏感資訊洩露

　　由於網站運維人員疏忽，存放敏感資訊的檔案被洩露或由於網站執行出錯導致敏感資訊洩露。

　　2、SQL隱碼攻擊

　　SQL隱碼攻擊漏洞產生的原因是網站應用程式在編寫時未對使用者提交至伺服器的資料進行合法性校驗，即沒有進行有效地特殊字元過濾，導致網站伺服器存在安全風險，這就是SQL Injection，即SQL隱碼攻擊漏洞。

　　3、XSS跨站指令碼

　　XSS跨站指令碼漏洞產生的原因是網站應用程式在編寫時未對使用者提交至伺服器的資料進行合法性校驗，即沒有進行有效地特殊字元過濾，導致網站伺服器存在安全風險。

　　4、目錄遍歷

　　透過該漏洞可以獲取系統檔案及伺服器的配置檔案。利用伺服器API，檔案標準許可權進行攻擊。

　　5、檔案上傳漏洞

　　網站存在任意檔案上傳漏洞，檔案上傳功能沒有進行格式限制，容易被駭客利用上傳惡意指令碼檔案。

　　6、弱口令漏洞

　　弱口令沒有嚴格和準確的定義，通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令。有後臺管理員弱口令，使用者弱口令，主機系統弱口令，路由器弱口令，交換機弱口令等。

　　7、程式碼執行漏洞

　　遠端程式碼執行漏洞，使用者透過瀏覽器提交執行命令，由於伺服器端沒有針對執行函式做過濾，導致伺服器端程式執行一個惡意構造的程式碼。

　　8、命令執行漏洞

　　命令執行漏洞是指程式碼未對使用者可控引數做過濾，導致直接帶入執行命令的程式碼中，對惡意構造的語句，可被用來執行任意命令。

　　9、檔案包含

　　檔案包含漏洞多數情況出現在PHP中，當然JSP中也存在，檔案包含分為本地包含與遠端包含。