1、sql注入:web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句拼接进数据库中执行,造成sql注入危害
2、xss:前端页面代码过滤不严格,导致可以插入的恶意js代码并执行
3、xxe:程序在解析XML文档输入时,没有禁止外部实体的加载,导致可引用恶意外部实体
4、文件上传:上传文件时过滤不严格导致可以上传恶意文件到服务器
5、文件包含:文件包含的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被解析执行
6、远程命令执行:对用户可控参数过滤不严格,导致可以带入命令并执行
7、csrf:攻击者会让用户在不知情的情况下执行恶意请求,来执行未经用户授权的操作。
8、ssrf:攻击者利用目标服务器对外发起请求的功能,将服务器作为代理来访问其他网络资源,包括内部网络或外部网络中的敏感信息。
9、反序列化漏洞:反序列化一般情况下并不会造成危害,当反序列化的内容可控时,通过服务器接收点进行传输,当将恶意的序列化数据反序列化会将任何内容解析
10、逻辑漏洞:因为后期测试不完全,或者程序员设计缺陷导致逻辑漏洞