常見產品安全性缺陷有什么

跨站腳本攻擊漏洞：用戶可以將惡意構造的腳本儲存在系統中，其他用戶訪問到構造的腳本時將會受到惡意腳本的攻擊；解決辦法：將HTML標記使用的“<”，“>”，單雙引號，反斜杠等進行轉碼或者過濾，如”<””>”轉換成“<”“>”。

SQL注入（盲注）：通過輸入在傳遞的參數中包含了SQL語言的元字符，破壞了原有的SQL語句結構，使程序要處理的數據變成了程序的一部分，以此來實現某些攻擊操作，造成數據丟失、篡改或被非法獲取。

用戶名、密碼明文傳輸：一些敏感數據或信息在傳輸過程中沒有加密，可以被嗅探工具監聽獲取；解決方法：啟用https使用ssl對數據進行加密。

權限驗證存在安全漏洞：某些網頁沒有對用戶權限進行有效檢查，不通過登錄輸入URL可以直接訪問獲取系統信息。

元字符攻擊：輸入語言中具有特定含義的字符或者字符串，如一些危險的元字符：在SQL查詢中，單引號”’”是危險字符，在文件系統路徑中兩個句號”..”是危險字符，對于命令行程序來說，分號“;”和雙&(&&)符號是危險字符，而換行符（\n）對于日志文件是危險字符。

異常處理：由于異常處理的不合理，用戶可以通過構造異常語句的方式，通過系統給出的錯誤提示收集信息，為其他攻擊提供便利。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。