漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。目前，安全漏洞多種多樣，造成的危害及影響也有高低之分，那么滲透測試常見漏洞有哪些?本文為大家介紹一下滲透測試9種常見漏洞，快來了解一下吧。

　　1、敏感信息泄露

　　由于網(wǎng)站運維人員疏忽，存放敏感信息的文件被泄露或由于網(wǎng)站運行出差導致敏感信息泄露。

　　2、SQL注入

　　SQL注入漏洞產生的原因是網(wǎng)站應用程序在編寫時未對用戶提交至服務器的數(shù)據(jù)進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網(wǎng)站服務器存在安全風險，這就是SQLInjection，即SQL注入漏洞。

　　3、XSS跨站腳本

　　XSS跨站腳本漏洞產生的原因是網(wǎng)站應用程序在編寫時未對用戶提交至服務器的數(shù)據(jù)進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網(wǎng)站服務器存在安全風險。

　　4、目錄遍歷

　　通過該漏洞可以獲取系統(tǒng)文件及服務器的配置文件。利用服務器API，文件標準權限進行攻擊。

　　5、文件上傳漏洞

　　網(wǎng)站存在任意文件上傳漏洞，文件上傳功能沒有進行格式限制，容易被黑客利用上傳惡意腳本文件。

　　6、弱口令漏洞

　　弱口令沒有嚴格和標準的定義，通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令。有后臺管理員弱口令，用戶弱口令，主機系統(tǒng)弱口令，路由器弱口令，交換機弱口令等。

　　7、代碼執(zhí)行漏洞

　　遠程代碼執(zhí)行漏洞，用戶通過瀏覽器提交執(zhí)行命令，由于服務器端沒有針對執(zhí)行函數(shù)做過濾，導致服務器端程序執(zhí)行一個惡意構造的代碼。

　　8、命令執(zhí)行漏洞

　　命令執(zhí)行漏洞是指代碼未對用戶可控參數(shù)做過濾，導致直接帶入執(zhí)行命令的代碼中，對惡意構造的語句，可被用來執(zhí)行任意命令。

　　9、文件包含

　　文件包含漏洞多數(shù)情況出現(xiàn)在PHP中，當然JSP中也存在，文件包含分為本地包含與遠程包含。