web有哪些攻击
web很容易受到攻击,一旦被攻击,想要解决问题是需要花费大量的时间的。那到底有哪些常见的web攻击呢?
一、CSRF
在用户毫不知情的情况下, 利用已有的用户信息,以用户的名分非法操作。
例如:当用户登陆成功进入转账界面,突然弹出第三方链接窗口,用户点击该链接后,攻击者会利用用户登录状态的cookie等信息进行非法操作(也就是利用这些信息伪造请求报文)
二、XSS
这种攻击主要存在于有安全漏洞的用户注册使用的Web浏览器,攻击者运行非法的HTML标签或JavaScript进行的一种攻击,即攻击者恶意往 Web 页面里插可执行网页脚本代码,用户只要浏览,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
三、URL跳转漏洞攻击
借助未验证的URL跳转,应用程序可以跳转到不安全的第三方页面,即黑客搭建恶意链接(链接需要进行伪装),发在QQ群或者是浏览量多的平台中。
四、点击劫持
攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击,是一种视觉欺骗的攻击手段。例如:用户登录A网站后,被攻击者引诱点击了第三方网站链接,第三方网站中使用Iframe嵌套了A网站的部分信息,并将其隐藏,然后透出一个按钮并诱惑用户点击,这时点击的按钮实际上是A网站上的某个按钮,从而诱骗到点击量。
五、OS注入攻击
原理与SQL注入类似,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的,即OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令,向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
六、SQL注入
攻击者在用户提交页面输入特定的字符串,提交数据后这些字符串与服务器的SQL语句组合成特定SQL语句,进而达到非法获取信息等目的。
上一篇: 建议网站企业合理使用云WAF
下一篇: 网盾教你区分web开发中的加解密类别