​ 开发人员一般会把重复使用的函数写道单个文件中、需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。

原理

应用程序有时候需要调用一些执行系统命令的函数，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中、从而造成命令执行攻击、这就是命令执行漏洞。

原理

​ 把用户提交的参数作为代码去执行。动态代码执行函数过滤参数不严格，导致用户输入数据作为服务端代码执行。

CSRF

​ CSRF(跨站请求伪造)，攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作（如发邮件，发消息，甚至财产操作）。因为浏览器之前认证过、所以被访问的站点会认为这是真正的用户操作而去运行。

XSS漏洞介绍

​ XSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets，CSS)的缩写混淆，故缩写为XSS。这是一种将任意JavaScript代码插入到其他Web用户页面里面执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能，在HTML页面里面嵌入恶意代码。当用户浏览该页时，这些嵌入在HTML中的恶意代码会被执行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的，如cookie窃取等。

SQL注入简介

SQL注入原理

​ SQL注入就是指web应用程序对用户输入的数据合法性没有过滤或者判断，前端传入的参数是攻击这可以控制，并且参数带入数据库的查询，攻击者可以通过构造恶意的SQL语句来实现对数据库的任意操作。

漏洞介绍

漏洞名称：WPS远程命令执行漏洞

漏洞编号：暂无

影响版本：

• WPS Office 2023 个人版 < 11.1.0.15120
• WPS Office 2019 企业版 < 11.8.2.12085