web很容易受到攻击，一旦被攻击，想要解决问题是需要花费大量的时间的。那到底有哪些常见的web攻击呢？

一、CSRF

在用户毫不知情的情况下， 利用已有的用户信息，以用户的名分非法操作。

例如：当用户登陆成功进入转账界面，突然弹出第三方链接窗口，用户点击该链接后，攻击者会利用用户登录状态的cookie等信息进行非法操作（也就是利用这些信息伪造请求报文）

二、XSS

这种攻击主要存在于有安全漏洞的用户注册使用的Web浏览器，攻击者运行非法的HTML标签或JavaScript进行的一种攻击，即攻击者恶意往 Web 页面里插可执行网页脚本代码，用户只要浏览，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

三、URL跳转漏洞攻击

借助未验证的URL跳转，应用程序可以跳转到不安全的第三方页面，即黑客搭建恶意链接（链接需要进行伪装），发在QQ群或者是浏览量多的平台中。

四、点击劫持

攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击，是一种视觉欺骗的攻击手段。例如：用户登录A网站后，被攻击者引诱点击了第三方网站链接，第三方网站中使用Iframe嵌套了A网站的部分信息，并将其隐藏，然后透出一个按钮并诱惑用户点击，这时点击的按钮实际上是A网站上的某个按钮，从而诱骗到点击量。

五、OS注入攻击

原理与SQL注入类似，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的，即OS命令注入攻击指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏，就可以执行插入的非法命令，向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过命令注入攻击可执行操作系统上安装着的各种程序。

六、SQL注入

攻击者在用户提交页面输入特定的字符串，提交数据后这些字符串与服务器的SQL语句组合成特定SQL语句，进而达到非法获取信息等目的。

上一篇: 建议网站企业合理使用云WAF

下一篇: 网盾教你区分web开发中的加解密类别