攻击一：代码执行攻击
　　
　　描述：
　　
　　当输出或者触发服务器端代码时，漏洞植入到代码中。在有些不严密的Web应用程序中，用户可以通过修改应用程序发布到留言板或留言簿，有时可能是注入的应用程序本身的脚本语言代码的服务器端文件。
　　
　　危害：
　　
　　用户可能会执行与Web服务器权限外的任意系统命令。
　　
　　攻击二：Cookie操作攻击
　　
　　描述：
　　
　　Cookie信息很容易被攻击者解密。由于Cookie是利用了网页代码中的HTTP或者META的头信息进行传递的，因此可以改变存储在客户浏览器中的设置。攻击者修改Cookie信息，以欺诈的手段进行输入验证。
　　
　　危害：
　　
　　通过利用此漏洞，攻击者可以进行固定会话攻击。在一个固定会话攻击中，攻击者使用他人的信息进行会话，然后以用户身份登录到目标服务器，最后再消除登陆会话的ID。
　　
　　攻击三：CRLF注入/HTTP响应拆分攻击
　　
　　描述：
　　
　　该脚本很容易被将CRLF命令注入到系统中。HTTP头的定义就是基于“Key:Value”的结构，用CRLF命令表示一行的结尾。这就意味着攻击者可以通过CRLF注入自定义HTTP头，导致其可以不经过应用层直接与服务器对话。HTTP响应拆分漏洞是一种新型的Web攻击方案，它重新产生了很多安全漏洞包括：Web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。攻击者可以发送一个或几个HTTP指令迫使漏洞服务器产生一个攻击者构想好的输出。它可以让服务器误把几条HTTP请求看成一次完整的HTTP请求来解释。
　　
　　危害：
　　
　　一个远程攻击者可以注入自定义的HTTP头。例如，攻击者可以注入会话Cookie或HTML代码。这种行为可能导致跨站脚本攻击固定会话攻击。
　　
　　攻击四：跨站脚本攻击：
　　
　　描述：
　　
　　跨站脚本（也称为XSS攻击）是一个漏洞，攻击者可以发送恶意脚本（通常以JavaScript的形式）到另一个用户。由于浏览器无法分辨此信息是否可信，入侵者运用脚本将Cookie保存了完整的用户名和密码资料保存到记录页面中。
　　
　　危害：
　　
　　XSS可使用的技术有JavaScript、VBScript、ActiveX、或Flash，且通常通过页面表单提交注入到web应用中并最终在用户的浏览器客户端执行。
　　
　　攻击五：目录穿越攻击
　　
　　描述：
　　
　　目录穿越漏洞允许攻击者访问受限制的目录可以访问Web服务器的根目录。
　　
　　危害：
　　
　　通过利用目录穿越漏洞，攻击者在一个Web服务器上使用这个软件除了可以访问服务器的根目录外还可以访问目录里面的数据，导致Web服务器完全妥协。