web攻擊類型有多少種

web攻擊類型有多少種

• SQL 注入：Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義，導(dǎo)致后端數(shù)據(jù)庫服務(wù)器執(zhí)行了黑客提交的 sql 語句。黑客利用 sql 注入攻擊可進(jìn)行拖庫、植入 webshell，進(jìn)而入侵服務(wù)器。
• XSS 跨站：Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義，導(dǎo)致黑客提交的 javascript 代碼被瀏覽器執(zhí)行。黑客利用 xss 跨站攻擊，可以構(gòu)造惡意蠕蟲、劫持網(wǎng)站 cookie、獲取鍵盤記錄、植入惡意挖礦 js 代碼。
• 命令注入：Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器端執(zhí)行了黑客提交的命令。黑客利用登入注入攻擊，可以對服務(wù)器植入后門、直接反彈 shell 入侵服務(wù)器。

• 

• CSRF：Web 應(yīng)用對某些請求未對來源做驗(yàn)證，導(dǎo)致登錄用戶的瀏覽器執(zhí)行黑客偽造的 HTTP 請求，并且應(yīng)用程序認(rèn)為是受害者發(fā)起的合法請求的請求。黑客利用 CSRF 攻擊可以執(zhí)行一些越權(quán)操作如添加后臺管理員、刪除文章等。
• 目錄遍歷：Web 應(yīng)用對相關(guān)目錄未做訪問權(quán)限控制，并且未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務(wù)器的配置文件，進(jìn)而入侵服務(wù)器。
• 木馬后門：Web 應(yīng)用未對用戶提交的數(shù)據(jù)做過濾或者轉(zhuǎn)義，導(dǎo)致木馬代碼執(zhí)行。黑客利用木馬后門攻擊，可以入侵服務(wù)器。
• 緩沖區(qū)溢出：http 協(xié)議未對請求頭部做字節(jié)大小限制，導(dǎo)致可以提交大量數(shù)據(jù)因此可能導(dǎo)致惡意代碼被執(zhí)行。
• 文件上傳：Web 應(yīng)用未對文件名后綴，上傳數(shù)據(jù)包是否合規(guī)，導(dǎo)致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務(wù)器，最終導(dǎo)致服務(wù)器被入侵。
• 掃描器掃描：黑客利用漏洞掃描器掃描網(wǎng)站，可以發(fā)現(xiàn) web 應(yīng)用存在的漏洞，最終利用相關(guān)漏洞攻擊網(wǎng)站。
• 高級爬蟲：爬蟲自動化程度較高可以識別 setcookie 等簡單的爬蟲防護(hù)方式。
• 常規(guī)爬蟲：爬蟲自動化程度較低，可以利用一些簡單的防護(hù)算法識別，如 setcookie 的方式。
• 敏感信息泄露:web 應(yīng)用過濾用戶提交的數(shù)據(jù)導(dǎo)致應(yīng)用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。
• 服務(wù)器錯(cuò)誤：Web 應(yīng)用配置錯(cuò)誤，導(dǎo)致服務(wù)器報(bào)錯(cuò)從而泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。
• 非法文件下載：Web 應(yīng)用未對敏感文件 (密碼、配置、備份、數(shù)據(jù)庫等) 訪問做權(quán)限控制，導(dǎo)致敏感文件被下載，黑客利用下載的敏感文件可以進(jìn)一步攻擊網(wǎng)站。
• 第三方組件漏洞：Web 應(yīng)用使用了存在漏洞的第三方組件，導(dǎo)致網(wǎng)站被攻擊。
• XPATH 注入：Web 應(yīng)用在用 xpath 解析 xml 時(shí)未對用戶提交的數(shù)據(jù)做過濾，導(dǎo)致惡意構(gòu)造的語句被 xpath 執(zhí)行。黑客利用 xpath 注入攻擊，可以獲取 xml 文檔的重要信息。
• XML 注入：Web 應(yīng)用程序使用較早的或配置不佳的 XML 處理器解析了 XML 文檔中的外部實(shí)體引用，導(dǎo)致服務(wù)器解析外部引入的 xml 實(shí)體。黑客利用 xml 注入攻擊可以獲取服務(wù)器敏感文件、端口掃描攻擊、dos 攻擊。
• LDAP 注入防護(hù)：Web 應(yīng)用使用 ldap 協(xié)議訪問目錄，并且未對用戶提交的數(shù)據(jù)做過濾或轉(zhuǎn)義，導(dǎo)致服務(wù)端執(zhí)行了惡意 ldap 語句，黑客利用 ldap 注入可獲取用戶信息、提升權(quán)限。
• SSI 注入：Web 服務(wù)器配置了 ssi，并且 html 中嵌入用戶輸入，導(dǎo)致服務(wù)器執(zhí)行惡意的 ssi 命令。黑客利用 ssi 注入可以執(zhí)行系統(tǒng)命令。
• Webshell 黑客連接嘗試去連接網(wǎng)站可能存在的 webshell，黑客可能通過中國菜刀等工具去連接 webshell 入侵服務(wù)器。
• 暴力破解：黑客在短時(shí)間內(nèi)大量請求某一 url 嘗試猜解網(wǎng)站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網(wǎng)站的用戶名、密碼，可以進(jìn)一步攻擊網(wǎng)站。
• 非法請求方法：Web 應(yīng)用服務(wù)器配置允許 put 請求方法請求，黑客可以構(gòu)造非法請求方式上傳惡意文件入侵服務(wù)器。
• 撞庫：Web 應(yīng)用對用戶登入功能沒做驗(yàn)證碼驗(yàn)證，黑客可以借助工具結(jié)合社工庫去猜網(wǎng)站用戶名及密碼。

驗(yàn)證碼 姓名 手機(jī)號

姓名 *

請輸入姓名或昵稱

手機(jī)號 *

需要咨詢的內(nèi)容 *

如果您有任何疑問、需要更多信息或希望與我們建立合作請留言

驗(yàn)證碼 *

=

提交留言