不完善的身份验证措施(62%):这类漏洞包括应用程序登陆机制中的各种缺陷,可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
不完善的访问控制措施(71%):这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器中的敏感信息,或者执行特权操作。
SQL注入(32%):攻击者通过这一漏洞提交专门设计的输入,干扰应用程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏其逻辑结构,或者在数据库服务器上执行命令。
跨站点脚本xss(94%):攻击者可利用该漏洞攻击应用程序的其他用户、访问其消息、代表他们执行未授权操作,或者向其发动其他攻击。
信息泄露(78%):这一问题包括应用程序泄露敏感信息,攻击者利用这些敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。
跨站点请求伪造CSRF(92%):利用这种漏洞,攻击者可以诱使用户在无意中使用自己的用户权限对应用程序执行操作,恶意web站点可以利用该漏洞,通过受害用户与应用程序进行交互,执行用户并不打算执行的操作。
image.png
image.png
