网盾安全 - 服务器租用、高防IP、云WAf等

值得信赖的互联网安全服务商,最新动态、新的产品促销活动分享,网络安全动态!

web有哪些攻击

发布时间:2020-12-19 15:36:25      来源: 网盾      作者: 夶夏

web很容易受到攻击,一旦被攻击,想要解决问题是需要花费大量的时间的。那到底有哪些常见的web攻击呢?

一、CSRF

在用户毫不知情的情况下, 利用已有的用户信息,以用户的名分非法操作。

例如:当用户登陆成功进入转账界面,突然弹出第三方链接窗口,用户点击该链接后,攻击者会利用用户登录状态的cookie等信息进行非法操作(也就是利用这些信息伪造请求报文)

二、XSS

这种攻击主要存在于有安全漏洞的用户注册使用的Web浏览器,攻击者运行非法的HTML标签或JavaScript进行的一种攻击,即攻击者恶意往 Web 页面里插可执行网页脚本代码,用户只要浏览,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

三、URL跳转漏洞攻击

借助未验证的URL跳转,应用程序可以跳转到不安全的第三方页面,即黑客搭建恶意链接(链接需要进行伪装),发在QQ群或者是浏览量多的平台中。

四、点击劫持

攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击,是一种视觉欺骗的攻击手段。例如:用户登录A网站后,被攻击者引诱点击了第三方网站链接,第三方网站中使用Iframe嵌套了A网站的部分信息,并将其隐藏,然后透出一个按钮并诱惑用户点击,这时点击的按钮实际上是A网站上的某个按钮,从而诱骗到点击量。

五、OS注入攻击

原理与SQL注入类似,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的,即OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令,向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。

六、SQL注入

攻击者在用户提交页面输入特定的字符串,提交数据后这些字符串与服务器的SQL语句组合成特定SQL语句,进而达到非法获取信息等目的。

 

 

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验