漏洞原理分析

接下来，讲解一下渗透测试原理篇的具体内容。

按照作者平时的渗透测试经验，现在，将一些目前最具有利用价值的web安全漏洞类型给大家列出来：

SQL注入漏洞、文件上传漏洞、文件解析漏洞、代码执行漏洞、命令执行漏洞、弱口令/敏感后台、应用程序报错信息、服务器配置不安全、越权访问漏洞、暴力破解、SVN/GIT源代码泄露。

至于什么xss，csrf，因为这些都是被动攻击类的漏洞，在此，不是我们关心的。

上面的漏洞类型，总的来说，就两个方面：技术与社工。

如有不懂的，建议读下Kevin David Mitnick的两本书《入侵的艺术》与《欺骗的艺术》。

接下来，我们通过实例来讲解上述web安全漏洞的原理。