由於其普遍性和嚴重性,註入漏洞位居漏洞排名第壹位。常見的註入漏洞包括SQL、LDAP、OS命令、ORM和OGML。用戶可以通過任何輸入點輸入構建的惡意代碼,如果應用程序沒有嚴格過濾用戶的輸入,壹旦輸入的惡意代碼作為命令或者查詢的壹部分被發送到解析器,就可能導致註入漏洞。
第二:跨站腳本漏洞
XSS漏洞的全稱是跨站點腳本漏洞。XSS漏洞是網絡應用程序中常見的安全漏洞,它允許用戶將惡意代碼植入網頁,當其他用戶訪問此頁面時,植入的惡意腳本將在其他用戶的客戶端執行。危害有很多,客戶端用戶的信息可以通過XSS漏洞獲取,比如用戶登錄的Cookie信息;信息可以通過XSS蝸牛傳播;木馬可以植入客戶端;可以結合其他漏洞攻擊服務器,並在服務器中植入特洛伊木馬。
第三、文件上傳漏洞
造成文件上傳漏洞的主要原因是應用程序中有上傳功能,但上傳的文件沒有通過嚴格的合法性檢查或者檢查功能有缺陷,導致木馬文件上傳到服務器。文件上傳漏洞危害極大,因為惡意代碼可以直接上傳到服務器,可能造成服務器網頁修改、網站暫停、服務器遠程控制、後門安裝等嚴重後果。
第四、文件包含漏洞
文件包含漏洞中包含的文件參數沒有過濾或嚴格定義,參數可以由用戶控制,可能包含意外文件。如果文件中存在惡意代碼,無論文件是什麽後綴類型,文件中的惡意代碼都會被解析執行,導致文件包含漏洞。
第五、命令執行漏洞
應用程序的某些函數需要調用可以執行系統命令的函數。如果這些功能或者功能的參數可以被用戶控制,那麽惡意的命令就有可能通過命令連接器拼接成正常的功能,從而可以隨意執行系統命令。這就是命令執行漏洞,屬於高風險漏洞之壹。