web攻擊類型有多少種

• SQL 注入：Web 應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致后端數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行了黑客提交的 sql 語(yǔ)句。黑客利用 sql 注入攻擊可進(jìn)行拖庫(kù)、植入 webshell，進(jìn)而入侵服務(wù)器。
• XSS 跨站：Web 應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致黑客提交的 javascript 代碼被瀏覽器執(zhí)行。黑客利用 xss 跨站攻擊，可以構(gòu)造惡意蠕蟲(chóng)、劫持網(wǎng)站 cookie、獲取鍵盤記錄、植入惡意挖礦 js 代碼。
• 命令注入：Web 應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器端執(zhí)行了黑客提交的命令。黑客利用登入注入攻擊，可以對(duì)服務(wù)器植入后門、直接反彈 shell 入侵服務(wù)器。

• 

• CSRF：Web 應(yīng)用對(duì)某些請(qǐng)求未對(duì)來(lái)源做驗(yàn)證，導(dǎo)致登錄用戶的瀏覽器執(zhí)行黑客偽造的 HTTP 請(qǐng)求，并且應(yīng)用程序認(rèn)為是受害者發(fā)起的合法請(qǐng)求的請(qǐng)求。黑客利用 CSRF 攻擊可以執(zhí)行一些越權(quán)操作如添加后臺(tái)管理員、刪除文章等。
• 目錄遍歷：Web 應(yīng)用對(duì)相關(guān)目錄未做訪問(wèn)權(quán)限控制，并且未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務(wù)器的配置文件，進(jìn)而入侵服務(wù)器。
• 木馬后門：Web 應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致木馬代碼執(zhí)行。黑客利用木馬后門攻擊，可以入侵服務(wù)器。
• 緩沖區(qū)溢出：http 協(xié)議未對(duì)請(qǐng)求頭部做字節(jié)大小限制，導(dǎo)致可以提交大量數(shù)據(jù)因此可能導(dǎo)致惡意代碼被執(zhí)行。
• 文件上傳：Web 應(yīng)用未對(duì)文件名后綴，上傳數(shù)據(jù)包是否合規(guī)，導(dǎo)致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務(wù)器，最終導(dǎo)致服務(wù)器被入侵。
• 掃描器掃描：黑客利用漏洞掃描器掃描網(wǎng)站，可以發(fā)現(xiàn) web 應(yīng)用存在的漏洞，最終利用相關(guān)漏洞攻擊網(wǎng)站。
• 高級(jí)爬蟲(chóng)：爬蟲(chóng)自動(dòng)化程度較高可以識(shí)別 setcookie 等簡(jiǎn)單的爬蟲(chóng)防護(hù)方式。
• 常規(guī)爬蟲(chóng)：爬蟲(chóng)自動(dòng)化程度較低，可以利用一些簡(jiǎn)單的防護(hù)算法識(shí)別，如 setcookie 的方式。
• 敏感信息泄露:web 應(yīng)用過(guò)濾用戶提交的數(shù)據(jù)導(dǎo)致應(yīng)用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。
• 服務(wù)器錯(cuò)誤：Web 應(yīng)用配置錯(cuò)誤，導(dǎo)致服務(wù)器報(bào)錯(cuò)從而泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。
• 非法文件下載：Web 應(yīng)用未對(duì)敏感文件 (密碼、配置、備份、數(shù)據(jù)庫(kù)等) 訪問(wèn)做權(quán)限控制，導(dǎo)致敏感文件被下載，黑客利用下載的敏感文件可以進(jìn)一步攻擊網(wǎng)站。
• 第三方組件漏洞：Web 應(yīng)用使用了存在漏洞的第三方組件，導(dǎo)致網(wǎng)站被攻擊。
• XPATH 注入：Web 應(yīng)用在用 xpath 解析 xml 時(shí)未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾，導(dǎo)致惡意構(gòu)造的語(yǔ)句被 xpath 執(zhí)行。黑客利用 xpath 注入攻擊，可以獲取 xml 文檔的重要信息。
• XML 注入：Web 應(yīng)用程序使用較早的或配置不佳的 XML 處理器解析了 XML 文檔中的外部實(shí)體引用，導(dǎo)致服務(wù)器解析外部引入的 xml 實(shí)體。黑客利用 xml 注入攻擊可以獲取服務(wù)器敏感文件、端口掃描攻擊、dos 攻擊。
• LDAP 注入防護(hù)：Web 應(yīng)用使用 ldap 協(xié)議訪問(wèn)目錄，并且未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或轉(zhuǎn)義，導(dǎo)致服務(wù)端執(zhí)行了惡意 ldap 語(yǔ)句，黑客利用 ldap 注入可獲取用戶信息、提升權(quán)限。
• SSI 注入：Web 服務(wù)器配置了 ssi，并且 html 中嵌入用戶輸入，導(dǎo)致服務(wù)器執(zhí)行惡意的 ssi 命令。黑客利用 ssi 注入可以執(zhí)行系統(tǒng)命令。
• Webshell 黑客連接嘗試去連接網(wǎng)站可能存在的 webshell，黑客可能通過(guò)中國(guó)菜刀等工具去連接 webshell 入侵服務(wù)器。
• 暴力破解：黑客在短時(shí)間內(nèi)大量請(qǐng)求某一 url 嘗試猜解網(wǎng)站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網(wǎng)站的用戶名、密碼，可以進(jìn)一步攻擊網(wǎng)站。
• 非法請(qǐng)求方法：Web 應(yīng)用服務(wù)器配置允許 put 請(qǐng)求方法請(qǐng)求，黑客可以構(gòu)造非法請(qǐng)求方式上傳惡意文件入侵服務(wù)器。
• 撞庫(kù)：Web 應(yīng)用對(duì)用戶登入功能沒(méi)做驗(yàn)證碼驗(yàn)證，黑客可以借助工具結(jié)合社工庫(kù)去猜網(wǎng)站用戶名及密碼。

姓名 *

請(qǐng)輸入姓名或昵稱

驗(yàn)證碼 手機(jī)號(hào) 姓名

手機(jī)號(hào) *

需要咨詢的內(nèi)容 *

如果您有任何疑問(wèn)、需要更多信息或希望與我們建立合作請(qǐng)留言

驗(yàn)證碼 *

=

提交留言