由于没有用户权限进行严格的判断， 导致低权限的账号（比如普通用户）可以去完成高权限账号（比如超级管理员）范围内的操作。

MlME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。

后台没有对前端传进来的值进行严格的安全考虑，则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来，

攻击者利用服务端漏洞,伪造服务端身份访问内部系统.

形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格，导致“精心构造”的脚本输入后，在输出到前端时被浏览器当做有效代码解析执行从而产生危害。

XML作为一种使用较为广泛的数据传输格式，很多应用程序都包含有处理xml数据的代码，许多过时或配置不当的XML处理器都会对外部实体进行引用，如果攻击者可以上传XML文档或者在XML文档中添加恶意内容，通过易受攻击的代码，就能够攻击包含缺陷的XML处理器，XXE漏洞的出现和开发语言无关，只要是应用程序中对XML数据做了解析，而且这些数据又受用户控制，那么应用程序都可能受到XXE攻击。

XML实体允许定义标记，在解析XML文档时，这些标记将被内容替换。通常有三种类型的实体: 普通实体（预定义实体和自定义实体）和参数实体 内部实体和外部实体 已解析实体和未解析实体

SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制

sql的注入，可以使用#注释，or关键字判断等手段使原本的sql查询数据部分形成闭合。

Insecure Login（不安全的登录） 概念 加密是安全通信的一个非常重要的工具。在这节课中，我们将了解为什么在发送敏感数据时总是要使用它。

注入类漏洞