一、经典漏洞
   'or' '='
    这样的漏洞解决起来也是比较容易的,过滤用户名和密码即可,不过也常常被忽视。

二、验证用户权限漏洞
   cookies保存在本地机子上记录用户的一些信息,顾在本地可以进行恶意修改
   session保存在服务器上,较占用服务器资源。
    防止此类漏洞的办法是进行双重验证。

三、垮站***漏洞
   例子:<script>alert("test only alert dialog box")</script>
     这仅仅是弹出一对话框,可想而知,挂马或者跳转其他站点便很容易实现。
     此类漏洞如被***利用,后果很严重,首先受害者是浏览网页的用户。
   解决方案:过滤 < > % ASCⅡ码等,简单的也可以通过限制表单长度解决。

四、注入***漏洞
   http://www.*****.com/edit.asp?id=8
    edit.xxx? xxx=???
     '        判定是否出错
   ' and 1=1  
     ' and 1=2   通过后俩个看其页面是否相同,如1正常,2不正常,则可断定有注入点。

   ../union select 1,2,3,4,5,6,7 form admin 直接对数据进行查询

    防止这样的漏洞是过滤 ' " 及ASCⅡ码。

五、数据库漏洞
     1、防下载没有做好
          <% %>
              对于一些.asp和.php网站来说, ../date/#difedate.asp
                可以  ../date/%23difedate.asp
         2、利用跨漏洞写shell
                如写蓝屏***

总结:所谓漏洞,就是不易被发觉的弱点,想成功***可不是件容易的事,教程之类也只是说说而已,多为理论,不可不看,也不可多看,关键还是靠自己去多钻研测试。笔记记的较粗略,不过也说明了基本问题,感兴趣的慢慢领悟吧。