1.漏洞的普遍性，由于信息產業(yè)的快速發(fā)展，大多數軟件、網站和信息系統的開發(fā)不是從零開始的，而是由一些現成的開發(fā)平臺或開源代碼開發(fā)的。在這種情況下，使用同一系統平臺或同一開源代碼開發(fā)的軟件，網站和信息系統往往存在相同或相似的安全漏洞。這種共同或相似的漏洞是通用漏洞。

2.事件漏洞事件漏洞主要是指軟件、網站和信息系統中的特定和獨特漏洞。這個漏洞的出現是非常偶然的，只與相關軟件、網站或信息系統本身的開發(fā)過程和運維過程有關，不會在其他地方復制。例如：常見的弱密碼問題、業(yè)務邏輯漏洞、系統設置不當等問題，一般歸因于事件漏洞。從歷史經驗來看，90%以上的軟件、網站或信息系統都存在事件安全漏洞。當系統開發(fā)平臺出現安全漏洞時，幾乎所有使用該平臺開發(fā)的軟件、網站或信息系統都會同時出現安全漏洞。

3.0day漏洞0day漏洞也叫零日漏洞。它指的是已知但廠家尚未修復的安全漏洞。理論上，攻擊者利用0day漏洞發(fā)動攻擊幾乎是不可防御的。但由于很難發(fā)現0day漏洞，一旦安全機構發(fā)現，0day漏洞將立即失效。因此，如果網絡攻擊者持有0day漏洞，他們通常不會普通人，而是用于攻擊高價值目標。此外，如果制造商已經提供了補丁，但由于各種原因，相關軟件、系統或設備沒有填補這些補丁的漏洞，因為它們可以被有效地攻擊和使用，這將成為Nday漏洞。

隨著大數據時代的到來，各行業(yè)的信息數據存儲量急劇增加，數據庫逐漸從后端發(fā)展到前端，從局域網到互聯網，從特定的物理事物到虛擬。數據庫廣泛應用于各種新場景，但它的發(fā)展也給了黑客更多的入侵機會。常見的數據庫漏洞主要包括數據庫特權提升、數據庫敏感數據未加密、數據庫配置錯誤。

4.數據庫特權的提升來自內部黑客的攻擊可能會使攻擊者擁有額外的系統權限，而外部黑客可以破壞操作系統以獲得額外的權限。一般來說，常見的漏洞是關于數據庫的錯誤配置：用戶被額外授予實際工作需求的系統、數據庫等訪問權限。此外，即使沒有數據庫的相關憑證，內部攻擊者或控制受害者機器的外部攻擊者也可以在應用程序和數據庫之間輕松跳轉。

5.數據庫敏感數據沒有加密。如果備份磁帶在存儲過程中意外丟失，信息沒有加密，一旦丟失，攻擊者可以攻擊數據庫，而無需使用網絡。這種攻擊更有可能發(fā)生在向黑客出售數據庫磁帶的內部管理員身上，黑客只要安裝磁帶就可以獲得數據庫。

6.在數據庫配置的實際生產環(huán)境中，由于賬戶配置參數或現有漏洞，許多數據庫問題通常需要數據庫管理員合理配置參數。