一、漏洞类型说明

　　1.对外开放服务

　　对外开放服务是指网站服务器对外提供的各项服务，每项服务对应着一个端口号。常见的有：HTTP服务常用端口号为80/8080，FTP服务常用端口号为21，Telnet服务常用端口号为23。

　　2.SQL注入漏洞

　　SQL注入漏洞，是发生在应用程序数据库层面上的安全漏洞。在设计不良的程序中，由于忽略了对输入字符串中夹带SQL指令的检查，使得夹带进去的SQL指令被数据库误认为是合法的SQL指令而运行，从而使数据库受到攻击，会导致网站数据被窃取、更改和删除。

　　3.XSS跨站脚本漏洞

　　XSS跨站脚本漏洞发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。攻击者将对客户端有危害的代码放到服务器上作 为一个网页内容，网站用户浏览此网页时，代码会注入到用户浏览器中执行，使用户受到攻击。一般而言，XSS跨站脚本漏洞分为三类：反射型跨站脚本漏洞、存 储型跨站脚本漏洞和DOM型跨站脚本漏洞。

　　4.信息泄露漏洞

　　CGI漏洞

　　CGI是公用网关接口(Common Gateway Inerface)的简称，并不特指一种语言。CGI漏洞包括：Web服务器软件编写中的BUG和服务器配置的错误。CGI漏洞分为以下几类：配置错误、 边界条件错误、访问验证错误、来源验证错误、输入验证错误、策略错误、使用错误等。

　　内容泄露漏洞

　　内容泄露漏洞，是指网站内容中出现比较敏感的可能危害网站安全的数据，会增加攻击者的攻击手段和攻击范围。

　　文件泄露漏洞

　　文件泄露漏洞，是由于服务器配置或程序设计缺陷，而绕过目录或权限的限制，使用户可以访问到无权访问的文件，包括但不限于：各类配置文件，操作系统敏感文件，网站程序源码，数据库文件，备份文件，系统日志等。

　　5.HTTP方法

　　HTTP方法是指，使用HTTP协议来请求网站页面时所使用到的请求方法。常见的HTTP方法有：

　　GET：请求指定的页面信息，并返回实体主体。

　　HEAD：只请求页面的首部。

　　POST：请求服务器接受所指定的文档作为对所标识的URI的新的从属实体。

　　PUT：从客户端向服务器传送的数据取代指定的文档的内容。

　　DELETE：请求服务器删除指定的页面。

　　OPTIONS：允许客户端查看服务器的性能。

　　TRACE：请求服务器在响应中的实体主体部分返回所得到的内容。

　　二、漏洞的危害

　　1.对外开放服务

　　黑客必须借由网站服务器的对方开放服务，才能展开攻击行为。

　　若网站服务器存在不必要的对外服务，会提高网站服务器的安全风险，增加黑客成功入侵的机率。

　　2.SQL注入漏洞

　　SQL注入漏洞的危害不仅体现在数据库层面，还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不限于：

　　数据库信息泄漏：数据库中存储的用户隐私信息泄露。

　　网页篡改：通过操作数据库对特定网页进行篡改。

　　网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

　　数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。

　　服务器被远程控制，被安装后门：经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。 (责任编辑：laiquliu)