关闭

常见的Web攻击方式有哪些?

时间: 2021-01-25阅读: 139标签: 攻击

数据显示,有约98%的网站曾经遭受黑客攻击。也就是说,几乎所有的网站,都被黑客送过“温暖”,它们无时无刻都在关注着我们的网站,有时候他们对网站的关注程度,甚至超过了我们。

在这里,给广大的黑客朋友们说一句:“你们辛苦了。”

圣诞老人只会在平安夜,给孩子们送去各种各样的礼物,黑客们却更加敬业,365天全年无休,7x24小时值班蹲守,只要你的网站有可乘之机,它就会毫不犹豫,尽职尽责。

就像圣诞袜里的礼物一样,礼物虽然五花八门,但总不会装着宇宙飞船和航空母舰,它总在一个范围内。黑客们送给站长们的“礼物”虽然千奇百怪,但也总离不开那几样。

黑客们会送什么样的“礼物”呢?是时候揭秘一下了!

这些Web攻击手段,有些可植入恶意代码,有些可获取网站权限,有些还能获取网站用户隐私信息。光常见的Web攻击,就有28种之多,方式多、破坏力惊人!


SQL注入

Web应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell,进而入侵服务器。

XSS跨站

Web应用未对用户提交的数据做过滤或者转义,导致黑客提交的JavaScript代码被浏览器执行。黑客利用xss跨站攻击,可以构造恶意蠕虫、劫持网站cookie、获取键盘记录、植入恶意挖矿js代码。

命令注入

Web应用未对用户提交的数据做过滤或者转义,导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击,可以对服务器植入后门、直接反弹shell入侵服务器。

CSRF

Web应用对某些请求未对来源做验证,导致登录用户的浏览器执行黑客伪造的HTTP请求,并且应用程序认为是受害者发起的合法请求的请求。黑客利用CSRF攻击可以执行一些越权操作如添加后台管理员、删除文章等。

目录遍历

Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用目录遍历攻击,可获取服务器的配置文件,进而入侵服务器。

本地文件包含

Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用本地文件包含漏洞,可以获取服务器敏感文件、植入webshell入侵服务器。

远程文件包含

Web应用未对用户提交的文件名做过滤或者转义,导致引入远程的恶意文件。黑客利用远程文件包含漏洞,可以加载远程的恶意文件,导致恶意代码执行、获取服务器的权限。

木马后门

Web应用未对用户提交的数据做过滤或者转义,导致木马代码执行。黑客利用木马后门攻击,可以入侵服务器。

缓冲区溢出

http协议未对请求头部做字节大小限制,导致可以提交大量数据因此可能导致恶意代码被执行。

文件上传

Web应用未对文件名后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,将包含恶意代码的文件上传到服务器,最终导致服务器被入侵。

扫描器扫描

黑客利用漏洞扫描器扫描网站,可以发现web应用存在的漏洞,最终利用相关漏洞攻击网站。

高级爬虫

爬虫自动化程度较高可以识别setcookie等简单的爬虫防护方式。

常规爬虫

爬虫自动化程度较低,可以利用一些简单的防护算法识别,如setcookie的方式。

敏感信息泄露

web应用过滤用户提交的数据导致应用程序抛出异常,泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站

服务器错误

Web应用配置错误,导致服务器报错从而泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。

非法文件下载

Web应用未对敏感文件(密码、配置、备份、数据库等)访问做权限控制,导致敏感文件被下载,黑客利用下载的敏感文件可以进一步攻击网站。

第三方组件漏洞

Web应用使用了存在漏洞的第三方组件,导致网站被攻击。

XPATH注入

Web应用在用xpath解析xml时未对用户提交的数据做过滤,导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击,可以获取xml文档的重要信息。

XML注入

Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用,导致服务器解析外部引入的xml实体。黑客利用xml注入攻击可以获取服务器敏感文件、端口扫描攻击、dos攻击。

LDAP注入防护

Web应用使用ldap协议访问目录,并且未对用户提交的数据做过滤或转义,导致服务端执行了恶意ldap语句,黑客利用ldap注入可获取用户信息、提升权限。

SSI注入

Web服务器配置了ssi,并且html中嵌入用户输入,导致服务器执行恶意的ssi命令。黑客利用ssi注入可以执行系统命令。

Webshell

黑客连接尝试去连接网站可能存在的webshell,黑客可能通过中国菜刀等工具去连接webshell入侵服务器。

暴力破解

黑客在短时间内大量请求某一url尝试猜解网站用户名、密码等信息,黑客利用暴力破解攻击,猜解网站的用户名、密码,可以进一步攻击网站。

非法请求方法

Web应用服务器配置允许put请求方法请求,黑客可以构造非法请求方式上传恶意文件入侵服务器。

撞库

Web应用对用户登入功能没做验证码验证,黑客可以借助工具结合社工库去猜网站用户名及密码。

固定会话

Web应用使用固定的cookie会话,导致cookie劫持。

IP黑名单

某一被确认为恶意ip,被waf拉黑后,所有请求都会被拦截

动态IP黑名单

某一ip发送了较多攻击请求,会被waf自动拉黑一段时间,该时间段内所有的请求都被拦截。

以上就是常见的Web攻击类型,足足有28种之多!正所谓想要成为世界上最坚固的盾牌,必须先了解世界上最好的矛。


站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

2.广告联盟: 整理了目前主流的广告联盟平台,如果你有流量,可以作为参考选择适合你的平台点击进入

链接: http://www.fly63.com/article/detial/10132

CSRF的几种防御方法的利弊分析

以上说的几种防护方式各有利弊,需要注意的是,如果网站还存在着其他安全漏洞,比如XSS,那么攻击者还是能够通过JS取到Token进行攻击的。

DDOS攻击常见的类型

互联网”指的是全球性的信息系统,是能够相互交流,相互沟通,相互参与的互动平台。随着互联网的飞速发展,越来越多的网站应运而生,但各种问题也随之而来。其中最严重的莫过于网络安全问题,应该象每家每户的防火防盗问题一样

XSS自动点按钮有什么危害?如何让按钮不被 JS 自动点击?

在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 —— XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言

通过代码重用攻击绕过现代XSS防御

XSS已有近二十年的历史了,但它仍然是Web上最常见的漏洞之一。因此,已经发展了许多机制来减轻漏洞的影响。我经常会误以为这些机制可以作为针对XSS的保护。今天,我们将了解为什么情况并非如此。我们将在代码重用攻击领域探索一种相对较新的技术

一次 Linux 系统被攻击的分析过程

IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务

web前端常见受攻击方式及解决办法

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法

XSS攻击

在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。

DDoS攻击与CC攻击的区别是什么?

随着互联网的兴起,各种网络攻击也随之日益频繁,各种恶意网络攻击给许多企业带来口碑、以及财务的巨大损失。近几年,最常见的网络攻击手段主要是DDoS攻击与CC攻击。

到底什么是中间人攻击,你该如何防范?

中间人(man-in-the-middle,MITM)攻击可以发送在人、用户电脑、以及服务器等任意组合之间,而且攻击途径也是多种多样,因此它在识别和防御上具有很大的难度。本文将和您深入讨论中间人攻击背后的逻辑

需要避免的五个防火墙配置错误

防火墙配置错误可能与没有防火墙一样危险。人们需要了解五个常见的防火墙配置错误,这些错误将让任何组织都容易受到攻击,防火墙是抵御所有类型网络入侵者的主要防线,但即使具有多年的实践和丰富的经验

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!