1.危险性的上传漏洞

这个也要分三类:

一类是上传的地方无任何身份验证，而且可以直接上传木马。

一类是只是注册一个账户就可以上传的，然后上传的地方也没有做好过滤。

一类是管理员后台的认证上传的。

当然有的上传可以直接上传脚本木马，有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。

2.注入漏洞

各种脚本的注入漏洞利用方法

电缆接地箱 隔离墩模具 保定电动门 铜狮子 u型槽模具 SMT贴片焊接 收费岛模具 水泥井模具

跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell，读取服务器的目录文件，或者直接加管理账户，执行替换服务等等攻击。

3.中转注入，也叫cookie中转注入

本来这个要归于楼上那一类，但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。

4.数据库写入木马

也就是以前可能有些程序员认为mdb的数据库容易被下载，就换成asp或者asa的。但是没有想到这么一换，带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是，攻击者可以一些途径提交一句话木马，插入到数据库来，然后用工具连接就获得权限了。