不完善的身份驗(yàn)證措施(62%):這類漏洞包括應(yīng)用程序登陸機(jī)制中的各種缺陷隆判,可能會(huì)使攻擊者破解保密性不強(qiáng)的密碼劝贸、發(fā)動(dòng)蠻力攻擊或完全避開登錄。
不完善的訪問控制措施(71%):這一問題涉及的情況包括:應(yīng)用程序無法為數(shù)據(jù)和功能提供全面保護(hù)根吁,攻擊者可以查看其他用戶保存在服務(wù)器中的敏感信息顽铸,或者執(zhí)行特權(quán)操作。
SQL注入(32%):攻擊者通過這一漏洞提交專門設(shè)計(jì)的輸入闪幽,干擾應(yīng)用程序與后端數(shù)據(jù)庫的交互活動(dòng)啥辨。攻擊者能夠從應(yīng)用程序中提取任何數(shù)據(jù)、破壞其邏輯結(jié)構(gòu)盯腌,或者在數(shù)據(jù)庫服務(wù)器上執(zhí)行命令委可。
跨站點(diǎn)腳本xss(94%):攻擊者可利用該漏洞攻擊應(yīng)用程序的其他用戶、訪問其消息腊嗡、代表他們執(zhí)行未授權(quán)操作着倾,或者向其發(fā)動(dòng)其他攻擊。
信息泄露(78%):這一問題包括應(yīng)用程序泄露敏感信息燕少,攻擊者利用這些敏感信息通過有缺陷的錯(cuò)誤處理或其他行為攻擊應(yīng)用程序卡者。
跨站點(diǎn)請(qǐng)求偽造CSRF(92%):利用這種漏洞,攻擊者可以誘使用戶在無意中使用自己的用戶權(quán)限對(duì)應(yīng)用程序執(zhí)行操作客们,惡意web站點(diǎn)可以利用該漏洞崇决,通過受害用戶與應(yīng)用程序進(jìn)行交互材诽,執(zhí)行用戶并不打算執(zhí)行的操作。
image.png
image.png
