1.危险性的上传漏洞

这个也要分三类:

一类是上传的地方无任何身份验证，而且可以直接上传木马。

一类是只是注册一个账户就可以上传的，然后上传的地方也没有做好过滤。

一类是管理员后台的认证上传的。

当然有的上传可以直接上传脚本木马，有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。

2.注入漏洞

各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell，读取服务器的目录文件，或者直接加管理账户，执行替换服务等等攻击。

3.中转注入，也叫cookie中转注入

本来这个要归于楼上那一类，但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。

4.数据库写入木马

也就是以前可能有些程序员认为mdb的数据库容易被下载，就换成asp或者asa的。但是没有想到这么一换，带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是，攻击者可以一些途径提交一句话木马，插入到数据库来，然后用工具连接就获得权限了。

5.数据库备份

这其实是很多网站后台的一个功能，本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上传带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证，那危害就更大了。有的网站数据库备份虽然有限制，但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有，asp，asa，cer，htr，cdx，php，jsp，aspx，ashx，asmx还有几个iis6.0环境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式，忽略了php等其他的解析。还有就是备份目录的文件夹名为tjseotv.asp tjseotv.asa这种解析。如果以上的都用不了，攻击者还可能网站目录下的conn.asp文件备份成tjseotv.txt来查看数据库路径，也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流，了解更多。

6.管理账户密码的泄露

也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。

第一:万能密码'or'='or'。还有其他更多的写法。这个的原理大家可以在我网站里搜索下。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。

第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。

第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的，就会去下一套相同的源码来看默认的数据库是否能下载，后台密码是否仍未更改。

第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露，攻击者可能用这个密码去测试你的网站后台，你的邮箱，你的QQ号，你的ftp，你在其他地方注册的账户。。。这个问题有点严重，涉及到社会工程学这一块。