1.未授權(quán)訪問(wèn)未授權(quán)訪問(wèn)漏洞，是在攻擊者沒(méi)有獲取到登錄權(quán)限或未授權(quán)的情況下，或者不需要輸入密碼，即可通過(guò)直接輸入網(wǎng)站控制臺(tái)主頁(yè)面地址或者不允許查看的鏈接便可進(jìn)行訪問(wèn)，同時(shí)進(jìn)行操作。一個(gè)頁(yè)面對(duì)用戶(hù)身份的判斷基于兩種方式：一種是將身份驗(yàn)證代碼寫(xiě)入當(dāng)前文件；另一種是寫(xiě)一個(gè)身份驗(yàn)證的代碼文件，然后其他頁(yè)面需要調(diào)用時(shí)，直接包含進(jìn)來(lái)即可。當(dāng)寫(xiě)了身份驗(yàn)證代碼，但開(kāi)發(fā)者在開(kāi)發(fā)時(shí)忘了將身份驗(yàn)證的代碼文件包含進(jìn)來(lái)就會(huì)造成未授權(quán)訪問(wèn)，asp/aspx的網(wǎng)站通常會(huì)有這樣的問(wèn)題。
2.SQL Server xp_cmdshell提權(quán)xp_cmdshell是一個(gè)開(kāi)放接