渗透测试的主要工作就是挖掘漏洞，那么渗透测试中最常见的漏洞有哪些?渗透中常见的漏洞包括：SQL注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本漏洞等，接下来是详细的内容介绍。

　　1、SQL注入漏洞：攻击者通过浏览器或其他客户端将恶意SQL语句插入到网站参数中，而网站应用程序未对期进行过滤，将恶意SQL语句带入数据库使恶意SQL语句得以执行，从而使攻击者通过数据库获取敏感信息或者执行其他恶意操作。

　　2、文件上传漏洞：操作者对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。如果web应用程序存在上传漏洞，攻击者上传的文件是web脚本语言，服务器的web容器解释并执行了用户上传的脚本，导致代码执行。如果上传的文件是Flash的策略文件crossdomain.xml，黑客用以控制Flash在该域下的行为。

　　3、文件包含漏洞：会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时，文件包含漏洞会导致攻击者任意控制运行时执行的文件。如果一个文件包含这个漏洞，为了方便起见，经常在开发阶段就实施。由于它经常用于程序开发阶段，所以这就为后来的攻击埋下了伏笔并导致了各种基于文件的攻击。

　　4、命令执行漏洞：黑客可以直接在web应用中执行系统命令，从而获取敏感信息或者拿下shell权限，从而控制整个网站甚至控制服务器进一步内网渗透。

　　5、跨站点脚本漏洞：如果在web应用程序对用户的输入过滤不足。攻击者可利用网站漏洞把恶意的脚本代码注入到网页之中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害用户可能采取cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。

　　6、SSRF漏洞：攻击者可以在服务端请求伪造漏洞，构造恶意载荷攻击脚本，并诱导服务器发起请求，让目标服务器执行非本意的操作。也可远程代码执行漏洞的内网机器，借助SSRF漏洞，可以绕过WAF、策略等限制，且可以直接获取目标的最高权限。哪怕是通过外网隔离的内网机器，借由SSRF也无法保证内网机器的绝对安全。

　　7、XML外部实体漏洞：XXE漏洞存在于使用XML进行数据交换的WEB应用程序中。假设web应用程序正在使用XML数据;攻击者可以干扰请求并操纵它，也可以在XML中注入恶意代码，类似于SQL注入或命令注入，以获得想要的结果。

　　8、反序列化漏洞：反序列化漏洞是指用户可控的数据被网站反序列化。攻击者能够操纵序列化对象，以便将有害数据传递到应用程序的代码当中。甚至可以用完全不同的类的对象替换序列化对象。许多基于反序列化的攻击是在反序列化完成之前完成的。