web攻擊類型有多少種

Infocode藍暢 1年前網絡安全 359

web攻擊類型有多少種

SQL 注入：Web 應用未對用戶提交的數據做過濾或者轉義，導致后端數據庫服務器執行了黑客提交的 sql 語句。黑客利用 sql 注入攻擊可進行拖庫、植入 webshell，進而入侵服務器。
XSS 跨站：Web 應用未對用戶提交的數據做過濾或者轉義，導致黑客提交的 javascript 代碼被瀏覽器執行。黑客利用 xss 跨站攻擊，可以構造惡意蠕蟲、劫持網站 cookie、獲取鍵盤記錄、植入惡意挖礦 js 代碼。
命令注入：Web 應用未對用戶提交的數據做過濾或者轉義，導致服務器端執行了黑客提交的命令。黑客利用登入注入攻擊，可以對服務器植入后門、直接反彈 shell 入侵服務器。
網站安全提升
CSRF：Web 應用對某些請求未對來源做驗證，導致登錄用戶的瀏覽器執行黑客偽造的 HTTP 請求，并且應用程序認為是受害者發起的合法請求的請求。黑客利用 CSRF 攻擊可以執行一些越權操作如添加后臺管理員、刪除文章等。
目錄遍歷：Web 應用對相關目錄未做訪問權限控制，并且未對用戶提交的數據做過濾或者轉義，導致服務器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務器的配置文件，進而入侵服務器。
木馬后門：Web 應用未對用戶提交的數據做過濾或者轉義，導致木馬代碼執行。黑客利用木馬后門攻擊，可以入侵服務器。
緩沖區溢出：http 協議未對請求頭部做字節大小限制，導致可以提交大量數據因此可能導致惡意代碼被執行。
文件上傳：Web 應用未對文件名后綴，上傳數據包是否合規，導致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務器，最終導致服務器被入侵。
掃描器掃描：黑客利用漏洞掃描器掃描網站，可以發現 web 應用存在的漏洞，最終利用相關漏洞攻擊網站。
高級爬蟲：爬蟲自動化程度較高可以識別 setcookie 等簡單的爬蟲防護方式。
常規爬蟲：爬蟲自動化程度較低，可以利用一些簡單的防護算法識別，如 setcookie 的方式。
敏感信息泄露:web 應用過濾用戶提交的數據導致應用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網站。
服務器錯誤：Web 應用配置錯誤，導致服務器報錯從而泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網站。
非法文件下載：Web 應用未對敏感文件 (密碼、配置、備份、數據庫等) 訪問做權限控制，導致敏感文件被下載，黑客利用下載的敏感文件可以進一步攻擊網站。
第三方組件漏洞：Web 應用使用了存在漏洞的第三方組件，導致網站被攻擊。
XPATH 注入：Web 應用在用 xpath 解析 xml 時未對用戶提交的數據做過濾，導致惡意構造的語句被 xpath 執行。黑客利用 xpath 注入攻擊，可以獲取 xml 文檔的重要信息。
XML 注入：Web 應用程序使用較早的或配置不佳的 XML 處理器解析了 XML 文檔中的外部實體引用，導致服務器解析外部引入的 xml 實體。黑客利用 xml 注入攻擊可以獲取服務器敏感文件、端口掃描攻擊、dos 攻擊。
LDAP 注入防護：Web 應用使用 ldap 協議訪問目錄，并且未對用戶提交的數據做過濾或轉義，導致服務端執行了惡意 ldap 語句，黑客利用 ldap 注入可獲取用戶信息、提升權限。
SSI 注入：Web 服務器配置了 ssi，并且 html 中嵌入用戶輸入，導致服務器執行惡意的 ssi 命令。黑客利用 ssi 注入可以執行系統命令。
Webshell 黑客連接嘗試去連接網站可能存在的 webshell，黑客可能通過中國菜刀等工具去連接 webshell 入侵服務器。
暴力破解：黑客在短時間內大量請求某一 url 嘗試猜解網站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網站的用戶名、密碼，可以進一步攻擊網站。
非法請求方法：Web 應用服務器配置允許 put 請求方法請求，黑客可以構造非法請求方式上傳惡意文件入侵服務器。
撞庫：Web 應用對用戶登入功能沒做驗證碼驗證，黑客可以借助工具結合社工庫去猜網站用戶名及密碼。

			姓名 手機號 需要咨詢的內容					
姓名 *請輸入姓名或昵稱
手機號 *
需要咨詢的內容 *如果您有任何疑問、需要更多信息或希望與我們建立合作請留言
驗證碼 *																																						=																							

回復

我來回復

暫無回復內容

已關閉回復。

web攻擊類型有多少種

web攻擊類型有多少種

回復

相關問題