有些朋友提到了漏洞的危害，想了解关于漏洞可以导致的威胁。

对于开源产品甚至加密的公开发布的产品来说，由于这些产品的定位是尽量满足用户全部需求的产品，所以这类产品一般存在两个问题。

1，功能设定的比较强大
2，产品结构相对透明

而网站的漏洞一般为：
1，代码执行漏洞
这方面的漏洞可以参照以下：
    1) http://www.wooyun.org/bugs/wooyun-2010-013937 Phpcms代码执行漏洞
    2) http://www.thinkphp.cn/down/116.html Thinkphp任意代码执行漏洞
等

当出现这些漏洞的时候，攻击者可以在您的站点执行任意代码，意思是，攻击者可以在你网站做你网站权限上能做的任何事情。


2，SQL注射漏洞。
这方面的漏洞可以参照以下：
    1）http://www.wooyun.org/bugs/wooyun-2010-017032 PHPCMS SQL注射漏洞
    2）http://www.wooyun.org/bugs/wooyun-2010-0248 Ecshop SQL注射漏洞

当出现这些漏洞的时候，攻击者可以在您的站点阅读您数据库里的任何数据，如果您的网站数据库内存放了密码，或者可以导致攻击者获得密码的内容，配合开源产品的强大功能（例如文件编辑，模板编辑等后台功能），攻击者最终可能在您的网站做任何事情。

3，跨站漏洞。
这方面的漏洞可以参照以下：
   1）http://www.wooyun.org/bugs/wooyun-2010-020641 
   2 ) http://www.wooyun.org/bugs/wooyun-2010-018732
当出现这类漏洞的时候，攻击者可以发布内容，引诱其他用户阅读，从而获取阅读者在网站功能上的权限，从而有可能依赖这些权限，最终获得更大的权限直至获得服务器权限。

4，逻辑漏洞。
  1 ) http://www.wooyun.org/bugs/wooyun-2010-019700     前程无忧的一个密码找回漏洞 
  2 ) http://www.wooyun.org/bugs/wooyun-2010-020588     皮皮网任意用户密码修改，可能导致用户金钱损失 
  3 ) http://www.wooyun.org/bugs/wooyun-2010-018331     嘀咕团支付漏洞及验证码绕过

出现这些漏洞的时候，往往是因为代码编写者考虑不全，将重要的数据放在表单的hidden属性字段里导致可以被用户修改，或者是某个重要的凭证可以被简单的获取，可能导致损失或者权限的丢失。