一、滲透測試常見漏洞

1、敏感信息泄露

由于網站運維人員疏忽，存放敏感信息的文件被泄露或由于網站運行出差導致敏感信息泄露。

2、SQL注入

SQL注入漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網站服務器存在安全風險，這就是SQL Injection，即SQL注入漏洞。

3、XSS跨站腳本

XSS跨站腳本漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網站服務器存在安全風險。

4、目錄遍歷

通過該漏洞可以獲取系統文件及服務器的配置文件。利用服務器API，文件標準權限進行攻擊。

5、文件上傳漏洞

網站存在任意文件上傳漏洞，文件上傳功能沒有進行格式限制，容易被黑客利用上傳惡意腳本文件。

6、弱口令漏洞

弱口令沒有嚴格和準確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。有后臺管理員弱口令，用戶弱口令，主機系統弱口令，路由器弱口令，交換機弱口令等等。

7、代碼執行漏洞

遠程代碼執行漏洞，用戶通過瀏覽器提交執行命令，由于服務器端沒有針對執行函數做過濾，導致服務器端程序執行一個惡意構造的代碼。

8、命令執行漏洞

命令執行漏洞是指代碼未對用戶可控參數做過濾，導致直接帶入執行命令的代碼中，對惡意構造的語句，可被用來執行任意命令。

9、文件包含

文件包含漏洞多數情況出現在php中，當然JSP中也存在，文件包含分為本地包含與遠程包含。

以上為部分常見安全漏洞，攻擊手法不斷在變化，漏洞也在不斷去挖掘。安全漏洞危害程度有低中高危之分，每種漏洞帶來的危害都有所不同，應時刻防范網絡攻擊。

二、漏洞不修復帶來的后果

1、影響系統業務正常運行

系統中存在安全漏洞不及時修復并且沒有安裝防病毒軟件，可能會被病毒、木馬所利用，輕則使計算機操作系統某些功能不能正常運行，重則會使用戶賬號密碼丟失、破壞系統等嚴重后果，給企業業務的運轉帶來不便。

2、重要信息被不法分子利用

若系統中儲存敏感信息以及重要數據，系統漏洞容易導致操作系統被破壞，嚴重則會使電腦中重要的數據和信息被竊取，造成信息泄露，被不法分子利用及傳播，給用戶和企業帶來困擾。

三、如何修復系統漏洞

1、找專業網絡安全公司

術業有專攻，專業的事還需專業的人來解決。多數情況下網絡安全公司相關人員會根據漏洞的程度給出修復建議并幫忙修復，但是，由于部分系統的設計、建設、服務器環境等作為第三方公司不便進行直接操作，則提供整改建議及整改方案給客戶由建設方和運維方進行整改。

2、加強員工安全意識培訓

除了網絡攻擊導致的漏洞，還有人為因素導致的，例如：錯誤的系統配置、設置了弱口令以及管理系統密碼人員泄密等引起的漏洞。人為引起的漏洞，需企業定期組織相關培訓，加強員工安全意識。

四、如何有效防范

1、對于企業，需提高安全意識，未雨綢繆

（1）主動抵御威脅，彌補系統漏洞。定期全面檢查企業辦公系統和應用，發現漏洞后及時修復，避免漏洞被黑客利用造成信息泄露；

（2）敏感信息和重要數據做好備份，盡可能做到異地備份，不要將數據備份在同一臺服務器上，確保系統或數據受損時能夠迅速并安全地恢復，企業應建立備份制度并嚴格實施。

（3）建立全方位的防御體系，每臺計算器設置好“防火墻”，保護內網免受非法用戶的侵入，同時也可以防止內部信息遭到他人惡意竊取。

2、對于個人用戶，培養良好的網絡使用習慣

（1）系統出現漏洞和攻擊時，盡量避免使用存在漏洞的操作系統，盡量不在漏洞未修復時登錄個人隱私性賬戶；

（2）注意防范惡意攻擊，學會辨別來意不明的電子郵件、鏈接等，避免造成病毒感染及信息泄露；

（3）及時更新防病毒產品，定期定時地執行病毒掃描工作。

不修復系統漏洞不一定會給電腦帶來危險，但會加大電腦系統遭受攻擊的概率。現今互聯網快速發展，任何信息似乎都處于透明狀態，自以為保護的很好，殊不知隨時都有泄露的危險。沒有絕對的安全，只要我們使用網絡就會存在危機。