1、SQL注入。SQL注入就是通過把SQL命令插入到Web表單，遞交或輸入域名或頁面請求的查詢字串，欺騙伺服器最終達到執行惡意SQL命令目的。

2、XSS跨站點指令碼攻擊。XSS是一種經常出現在Web應用中的漏洞，XSS允許惡意web使用者將程式碼植入到提供給其他使用者使用的頁面中，這些程式碼包括HTML程式碼和客戶端指令碼，攻擊者利用XSS漏洞進行非法訪問控制。

3、檔案上傳。檔案上傳漏洞是指使用者上傳一個可執行的指令碼檔案，並提供該指令碼獲取了執行服務端命令的許可權。

4、檔案下載。可以下載網站的所有資訊資料，包括原始碼、網站的配置檔案等敏感資訊檔案。

5、目錄遍歷。由於設計控制缺陷，網站允許HTTP遍歷，使用者可以訪問受限制的目錄，並可以在web根目錄外執行命令。

6、本地檔案包含。這是PHP指令碼的一大特色，由於未對使用者可控的變數進行輸入檢查，導致使用者可以控制被包含的檔名，當利用成功時可以使web server將特定檔案當成PHP指令碼執行，從而1導致使用者獲取到一定的伺服器許可權。

7、遠端檔案包含。伺服器通過PHP的特性（函式）去包含任意檔案時，由於要包含的檔案過濾不嚴，可以包含一個惡意檔案，使用者可以構造這個惡意檔案達到滲透系統的目的。幾乎所有的CGI程式都存在這樣的bug，只是具體的表現方式不同。

8、全域性變數覆蓋。register_globals是php中的一個可控選項，可以設定成off或on，預設為off，決定是否將EGPCS（Environment、GET、POST、Cookie、Server）變數註冊成全域性變數。如果開啟register_globals，客戶端提交的資料中含有GLOBALS變數名，就會覆蓋伺服器上的$GLOBALS變數。

9、程式碼執行。由於開發人員編寫原始碼時沒有針對程式碼中可執行的特殊函式入口做過濾，導致客戶端可以提交惡意構造語句，並交由伺服器端執行。web伺服器沒有過濾類似system()、eval()、exec()等函式是該漏洞攻擊成功的主要原因。

10、資訊洩露。由於程式碼編寫不嚴謹或應用固有功能造成網站伺服器資訊被非法獲取。

11、弱口令。顧名思義，就是賬號、密碼等口令設定過於簡單，或者沒有設定，而是直接使用預設口令。

12、跨目錄訪問。開發人員沒有正確地限制能夠訪問儲存系統的網頁路徑。通常該類漏洞攻擊受害者往往是社交網站，或是全球性的web伺服器。

13、緩衝區溢位。這是一種非常普遍非常危險的漏洞，在各種作業系統、應用軟體中廣泛存在。緩衝區溢位攻擊會導致程式執行失敗、系統宕機、重新啟動等後果。更為嚴重的是可以利用它執行非授權指令，甚至可以取得系統特權進行各種非法操作。

14、Cookies欺騙。Cookies不能作為程式碼執行，也不會傳送病毒，為某一使用者專有，且只能由提供它的伺服器來讀取。儲存的資訊片段以“名/值對”形式儲存，一個“名/值對”僅僅是一條命名的資料，cookies欺騙就是其中儲存的資訊，從而實現某些特殊目的。

15、反序列化。若服務端程式沒有對使用者可控的序列化程式碼進行校驗，而是直接進行反序列化使用，並在程式中執行一些筆記危險的邏輯，就會觸發一些意想不到的漏洞。

16、CSRF跨站點請求偽造。攻擊者通過使用者瀏覽器注入額外的網路請求，破壞一個網站會話的完整性，瀏覽器的安全策略是運行當前頁面傳送到任何地址，因此當用戶在瀏覽其無法控制的資源時，攻擊者可以控制頁面的內容來控制瀏覽器，傳送其精心偽造的請求。

17、命令注入。系統對使用者輸入的資料沒有進行嚴格的過濾就運用，並使用bash或cmd執行。