漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。目前，安全漏洞多種多樣，造成的危害及影響也有高低之分，那么滲透測(cè)試常見漏洞有哪些?本文為大家介紹一下滲透測(cè)試9種常見漏洞，快來(lái)了解一下吧。

　　1、敏感信息泄露

　　由于網(wǎng)站運(yùn)維人員疏忽，存放敏感信息的文件被泄露或由于網(wǎng)站運(yùn)行出差導(dǎo)致敏感信息泄露。

　　2、SQL注入

　　SQL注入漏洞產(chǎn)生的原因是網(wǎng)站應(yīng)用程序在編寫時(shí)未對(duì)用戶提交至服務(wù)器的數(shù)據(jù)進(jìn)行合法性校驗(yàn)，即沒(méi)有進(jìn)行有效地特殊字符過(guò)濾，導(dǎo)致網(wǎng)站服務(wù)器存在安全風(fēng)險(xiǎn)，這就是SQLInjection，即SQL注入漏洞。

　　3、XSS跨站腳本

　　XSS跨站腳本漏洞產(chǎn)生的原因是網(wǎng)站應(yīng)用程序在編寫時(shí)未對(duì)用戶提交至服務(wù)器的數(shù)據(jù)進(jìn)行合法性校驗(yàn)，即沒(méi)有進(jìn)行有效地特殊字符過(guò)濾，導(dǎo)致網(wǎng)站服務(wù)器存在安全風(fēng)險(xiǎn)。

　　4、目錄遍歷

　　通過(guò)該漏洞可以獲取系統(tǒng)文件及服務(wù)器的配置文件。利用服務(wù)器API，文件標(biāo)準(zhǔn)權(quán)限進(jìn)行攻擊。

　　5、文件上傳漏洞

　　網(wǎng)站存在任意文件上傳漏洞，文件上傳功能沒(méi)有進(jìn)行格式限制，容易被黑客利用上傳惡意腳本文件。

　　6、弱口令漏洞

　　弱口令沒(méi)有嚴(yán)格和標(biāo)準(zhǔn)的定義，通常認(rèn)為容易被別人猜測(cè)到或被破解工具破解的口令均為弱口令。有后臺(tái)管理員弱口令，用戶弱口令，主機(jī)系統(tǒng)弱口令，路由器弱口令，交換機(jī)弱口令等。

　　7、代碼執(zhí)行漏洞

　　遠(yuǎn)程代碼執(zhí)行漏洞，用戶通過(guò)瀏覽器提交執(zhí)行命令，由于服務(wù)器端沒(méi)有針對(duì)執(zhí)行函數(shù)做過(guò)濾，導(dǎo)致服務(wù)器端程序執(zhí)行一個(gè)惡意構(gòu)造的代碼。

　　8、命令執(zhí)行漏洞

　　命令執(zhí)行漏洞是指代碼未對(duì)用戶可控參數(shù)做過(guò)濾，導(dǎo)致直接帶入執(zhí)行命令的代碼中，對(duì)惡意構(gòu)造的語(yǔ)句，可被用來(lái)執(zhí)行任意命令。

　　9、文件包含

　　文件包含漏洞多數(shù)情況出現(xiàn)在PHP中，當(dāng)然JSP中也存在，文件包含分為本地包含與遠(yuǎn)程包含。