利用漏洞獲得更高的特權
如果Web服務和應用程序不是從編碼的角度設計的,它們可以被用來獲得更高的特權。例如,如果Web服務器沒有安裝最新的安全補丁,這可能會導致遠程代碼執行,攻擊者可能會編寫腳本來利用該漏洞訪問服務器並遠程控制它。
表單輸入安全漏洞
許多網站使用網站用戶填寫的表單並將其提交給服務器。然後服務器驗證輸入並將其保存到數據庫中。驗證過程有時委托給客戶端瀏覽器或數據庫服務器。如果這些驗證不夠強大或編程不正確,它們可能會留下可被攻擊者利用的安全漏洞。
代碼挖掘漏洞
程序員在對各種用戶輸入設置限制時會做出假設。典型的例子是用戶名不能超過50個字符,或者數值總是正數,等等。從安全的角度來看,這些假設是危險的,因為黑客可以利用它們。例如,通過用100個字符填充名稱字段,數據集會面臨壓力,或者通過在數值字段中提供負整數會產生不正確的計算結果。