不完善的身份驗(yàn)證措施（62%）:這類(lèi)漏洞包括應(yīng)用程序登陸機(jī)制中的各種缺陷，可能會(huì)使攻擊者破解保密性不強(qiáng)的密碼、發(fā)動(dòng)蠻力攻擊或完全避開(kāi)登錄。

不完善的訪問(wèn)控制措施（71%）：這一問(wèn)題涉及的情況包括：應(yīng)用程序無(wú)法為數(shù)據(jù)和功能提供全面保護(hù)，攻擊者可以查看其他用戶(hù)保存在服務(wù)器中的敏感信息，或者執(zhí)行特權(quán)操作。

SQL注入（32%）：攻擊者通過(guò)這一漏洞提交專(zhuān)門(mén)設(shè)計(jì)的輸入，干擾應(yīng)用程序與后端數(shù)據(jù)庫(kù)的交互活動(dòng)。攻擊者能夠從應(yīng)用程序中提取任何數(shù)據(jù)、破壞其邏輯結(jié)構(gòu)，或者在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行命令。

跨站點(diǎn)腳本xss（94%）：攻擊者可利用該漏洞攻擊應(yīng)用程序的其他用戶(hù)、訪問(wèn)其消息、代表他們執(zhí)行未授權(quán)操作，或者向其發(fā)動(dòng)其他攻擊。

信息泄露（78%）：這一問(wèn)題包括應(yīng)用程序泄露敏感信息，攻擊者利用這些敏感信息通過(guò)有缺陷的錯(cuò)誤處理或其他行為攻擊應(yīng)用程序。

跨站點(diǎn)請(qǐng)求偽造CSRF（92%）：利用這種漏洞，攻擊者可以誘使用戶(hù)在無(wú)意中使用自己的用戶(hù)權(quán)限對(duì)應(yīng)用程序執(zhí)行操作，惡意web站點(diǎn)可以利用該漏洞，通過(guò)受害用戶(hù)與應(yīng)用程序進(jìn)行交互，執(zhí)行用戶(hù)并不打算執(zhí)行的操作。

image.png

image.png