- 不完善的身份验证措施
这类漏洞包括应用程序登录机制的各种缺陷,可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。 - 不完善的访问控制措施
这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器的敏感信息,或者执行特权操作。 - SQL注入
攻击者可通过这一漏洞提交专门设计的输入,干扰应用程序与后台数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏其逻辑结构,或者在数据库服务器上执行命令。 - 跨站点脚本。
攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作,或者儿向其发动其他攻击。 - 信息泄露
这一问题包括应用程序泄露敏感信息,攻击者利用这些敏感信息通过有缺陷的出错误处理或其他行为攻击应用程序。 - 跨站点请求伪造
利用这种漏洞,攻击者可以诱使用户无意中使用自己的用户权限对应用程序执行操作。恶意Web站点可以利用该漏洞,通过受害用户与应用程序进行交互,执行用户并不打算执行的操作。
网友评论