常见产品安全性缺陷有什么

跨站脚本攻击漏洞：用户可以将恶意构造的脚本储存在系统中，其他用户访问到构造的脚本时将会受到恶意脚本的攻击；解决办法：将HTML标记使用的“<”，“>”，单双引号，反斜杠等进行转码或者过滤，如”<””>”转换成“<”“>”。

SQL注入（盲注）：通过输入在传递的参数中包含了SQL语言的元字符，破坏了原有的SQL语句结构，使程序要处理的数据变成了程序的一部分，以此来实现某些攻击操作，造成数据丢失、篡改或被非法获取。

用户名、密码明文传输：一些敏感数据或信息在传输过程中没有加密，可以被嗅探工具监听获取；解决方法：启用https使用ssl对数据进行加密。

权限验证存在安全漏洞：某些网页没有对用户权限进行有效检查，不通过登录输入URL可以直接访问获取系统信息。

元字符攻击：输入语言中具有特定含义的字符或者字符串，如一些危险的元字符：在SQL查询中，单引号”’”是危险字符，在文件系统路径中两个句号”..”是危险字符，对于命令行程序来说，分号“;”和双&(&&)符号是危险字符，而换行符（n）对于日志文件是危险字符。

异常处理：由于异常处理的不合理，用户可以通过构造异常语句的方式，通过系统给出的错误提示收集信息，为其他攻击提供便利。