web漏洞分类：

1  跨站点脚本（Cross-Site Scripting，XSS）攻击：这种攻击是通过把恶意代码注入到Web应用程序页面的方式来影响用户，如注入脚本、HTML标签或其他可执的代码，绕过浏览器的安全机制，从而欺骗和攻击用户。

2  SQL注入攻击（SQL Injection， SQLI）：这种攻击旨在利用用户输入数据的不安全性，从而绕过Web应用程序的安全检查机制，执行恶意SQL代码，获取敏感数据或者控制数据库。

3  跨站点请求伪造（Cross-Site Request Forgery，CSRF）攻击：利用Web应用程序对用户输入的信任机制，攻击者可以创建恶意链接或页面，从而欺骗用户执行不安全的行为或操作。

4  文件包含漏洞：攻击者利用Web应用程序的逻辑漏洞或授权错误，从而使恶意代码被包含或执行。

[出自:jiwo.org]

5  敏感信息泄露漏洞：包括用户身份证号、密码、信用卡信息等各种敏感信息泄露，导致信息泄露或者盗取。

6  不安全的文件上传：攻击者通过上传包含恶意代码的文件（如木马）来入侵系统。

7  HTTP头注入攻击：利用Web应用程序对HTTP头不当处理，攻击者可以注入攻击代码，达到控制Web服务器的目的。