跨站脚本（即XSS）漏洞允许攻击者向其他用户发送恶意代码（通常是Javascript格式的）。浏览器不能判断该脚本是否可被信任，因此会在用户上下文中执行此脚本。恶意人员可利用跨站脚本构造诱骗页面,诱骗用户登陆，进而获取登陆者的用户名称、密码等敏感信息，进行非法活动。

web应用程序接收的用户输入在没有对输入的字符进行恶意字符过滤的前提下，直接用来拼接SQL语句，造成了SQL注入漏洞。攻击者利用此注入漏洞，通过对数据库的猜解，可得到网站管理员的用户名和密码，进而获取站点的上传权限得到webshell,利用权限提升控制服务器，对整个外部和内部网络系统造成重大损失。

SQL注入是目前互联网中应用最普遍的一个应用层攻击。

让程序将输入的内容作为代码来执行，从而获得远程系统的访问权限。

由于WEB服务器配置不正确或WEB服务器自身存在漏洞,可导致非法人员下载服务器端的文件。攻击者利用此漏洞可遍历服务器目录,造成诸如网站源代码、内网地址等相关重要信息泄露,并由此可能暴露出更严重的安全漏洞，为非法者进一步攻击提供了可能的机会。

脚本在包含文件时，直接使用用户提交上来的数据作为文件名。这些数据在使用前并没有进行适当的验证。

把脚本文件名作为参数可能读取该脚本的源代码。该脚本在包含文件时，直接使用用户提交上来的数据作为文件名。这些数据在使用前并没有进行适当的过滤

攻击者可以通过在一段数据中加入CRLF命令来改变接受这个数据的应用程序处理这个数据的方式，从而执行CRLF注入攻击，最基本的例子包括向记录文件中增加伪造的记录。

远程攻击者可以利用这类漏洞获得服务器物理路径信息。当客户端请求一个不存在的文件时，会返回一些出错信息，这可能允许攻击者了解服务器的配置情况，可能有助于发动进一步攻击。

这种漏洞会泄漏一些WEB的内部信息，这些信息可能会包括WEB开发使用的语言、中间件、开发框架、数据库的名称、版本号等，这些信息都会有助于黑客进行进一步的准确攻击

备份文件通常是开发人员为备份他们的工作而创建的，web server上备份文件可能包含敏感信息，从而被攻击者利用