网站型服务器是企业的门面。如果被入侵或者挂机，会导致用户体验下降，从而损害企业形象。为了防止wab服务器被入侵，有必要知道哪些漏洞可能被入侵。分析如下:

物理路径泄漏

物理路径的泄漏通常是由于Web服务器在处理用户请求时的错误造成的，比如提交一个很长的请求，或者一个专门构造的请求，或者请求一个Web服务器上不存在的文件。这些请求有一个共同的特点，即请求的文件必须属于CGI脚本，而不是静态的HTML页面

面条。

目录遍历

目录遍历对于Web服务器来说很少见。它可能会导致目录遍历../"到任何目录，附加"../"添加到具有特殊意义的目录中，或者附加一些变量"../，如“..“或”..//”甚至是它的编码。前一种情况比较少见，后一种情况要常见得多。之前非常流行的IIS二次解码漏洞和Unicode解码漏洞，都可以看作是畸形编码。

执行任意命令

执行任意命令就是执行任意操作系统命令，主要包括两种情况。一种是通过遍历目录来执行系统命令，比如前面提到的二次解码和UNICODE解码漏洞。另一种是Web服务器将用户提交的请求解析为SSI指令，导致任意命令的执行。

缓冲区溢出

每个人都必须熟悉缓冲区溢出漏洞，除了Web服务器无法正确处理用户提交的超长请求，可能包括超长URL、超长HTTP Header字段或其他超长数据。此漏洞可能导致任意命令执行或拒绝服务，这通常取决于构建的数据。

拒绝服务

拒绝服务的原因很多，包括过长的URL、特殊目录、过长的HTTP Header字段、格式错误的HTTP Header字段或DOS设备文件。由于网络服务器在处理这些特殊请求时不知所措或不恰当，错误终止或挂起。

SQL注入

SQL注入的漏洞是在编程过程中造成的。后台数据库允许执行动态的SQL语句。前台应用程序不对用户输入的数据或页面提交的信息(如POST和GET)进行必要的安全检查。由于数据库本身的特点，与web程序的编程语言无关。几乎所有的关系数据库系统和相应的SQL语言都面临着SQL注入的潜在威胁。

有条件竞争

这里的条件竞争主要针对一些管理服务器，一般以System或Root运行。当他们需要使用一些临时文件，但在写入这些文件之前，他们没有检查文件的属性，这通常可能导致重要的系统文件被重写，甚至获得系统控制权。

公共网关接口

CGI脚本中存在暴露敏感信息、不关闭一些默认提供的正常服务、利用一些服务漏洞执行命令、应用程序远程溢出、非通用CGI程序编程漏洞等安全漏洞。

SQL注入脆弱性

SQL注入漏洞是用户提交的参数在web程序中未经过滤直接拼接成SQL语句，导致参数中的特殊字符破坏了SQL语句的原有逻辑。攻击者可以利用此漏洞执行任意的SQL语句。

弱密码漏洞

当网站用户账户有弱密码时，攻击者可以通过弱密码登录网站管理后台，执行任何管理员操作。

垂直特权攻击漏洞

垂直权限攻击漏洞是指低权限用户超越权限使用更高权限的权限升级攻击。就是因为web应用不控制权限，所以恶意用户可以通过猜测其他管理页面的URL来访问或控制其他用户的数据或页面，从而达到权限升级的目的。