web攻擊類型有多少種
web攻擊類型有多少種
- SQL 注入:Web 應用未對用戶提交的數據做過濾或者轉義,導致后端數據庫服務器執行了黑客提交的 sql 語句。黑客利用 sql 注入攻擊可進行拖庫、植入 webshell,進而入侵服務器。
- XSS 跨站:Web 應用未對用戶提交的數據做過濾或者轉義,導致黑客提交的 javascript 代碼被瀏覽器執行。黑客利用 xss 跨站攻擊,可以構造惡意蠕蟲、劫持網站 cookie、獲取鍵盤記錄、植入惡意挖礦 js 代碼。
- 命令注入:Web 應用未對用戶提交的數據做過濾或者轉義,導致服務器端執行了黑客提交的命令。黑客利用登入注入攻擊,可以對服務器植入后門、直接反彈 shell 入侵服務器。
-
網站安全提升 - CSRF:Web 應用對某些請求未對來源做驗證,導致登錄用戶的瀏覽器執行黑客偽造的 HTTP 請求,并且應用程序認為是受害者發起的合法請求的請求。黑客利用 CSRF 攻擊可以執行一些越權操作如添加后臺管理員、刪除文章等。
- 目錄遍歷:Web 應用對相關目錄未做訪問權限控制,并且未對用戶提交的數據做過濾或者轉義,導致服務器敏感文件泄露。黑客利用目錄遍歷攻擊,可獲取服務器的配置文件,進而入侵服務器。
- 木馬后門:Web 應用未對用戶提交的數據做過濾或者轉義,導致木馬代碼執行。黑客利用木馬后門攻擊,可以入侵服務器。
- 緩沖區溢出:http 協議未對請求頭部做字節大小限制,導致可以提交大量數據因此可能導致惡意代碼被執行。
- 文件上傳:Web 應用未對文件名后綴,上傳數據包是否合規,導致惡意文件上傳。文件上傳攻擊,將包含惡意代碼的文件上傳到服務器,最終導致服務器被入侵。
- 掃描器掃描:黑客利用漏洞掃描器掃描網站,可以發現 web 應用存在的漏洞,最終利用相關漏洞攻擊網站。
- 高級爬蟲:爬蟲自動化程度較高可以識別 setcookie 等簡單的爬蟲防護方式。
- 常規爬蟲:爬蟲自動化程度較低,可以利用一些簡單的防護算法識別,如 setcookie 的方式。
- 敏感信息泄露:web 應用過濾用戶提交的數據導致應用程序拋出異常,泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網站。
- 服務器錯誤:Web 應用配置錯誤,導致服務器報錯從而泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網站。
- 非法文件下載:Web 應用未對敏感文件 (密碼、配置、備份、數據庫等) 訪問做權限控制,導致敏感文件被下載,黑客利用下載的敏感文件可以進一步攻擊網站。
- 第三方組件漏洞:Web 應用使用了存在漏洞的第三方組件,導致網站被攻擊。
- XPATH 注入:Web 應用在用 xpath 解析 xml 時未對用戶提交的數據做過濾,導致惡意構造的語句被 xpath 執行。黑客利用 xpath 注入攻擊,可以獲取 xml 文檔的重要信息。
- XML 注入:Web 應用程序使用較早的或配置不佳的 XML 處理器解析了 XML 文檔中的外部實體引用,導致服務器解析外部引入的 xml 實體。黑客利用 xml 注入攻擊可以獲取服務器敏感文件、端口掃描攻擊、dos 攻擊。
- LDAP 注入防護:Web 應用使用 ldap 協議訪問目錄,并且未對用戶提交的數據做過濾或轉義,導致服務端執行了惡意 ldap 語句,黑客利用 ldap 注入可獲取用戶信息、提升權限。
- SSI 注入:Web 服務器配置了 ssi,并且 html 中嵌入用戶輸入,導致服務器執行惡意的 ssi 命令。黑客利用 ssi 注入可以執行系統命令。
- Webshell 黑客連接嘗試去連接網站可能存在的 webshell,黑客可能通過中國菜刀等工具去連接 webshell 入侵服務器。
- 暴力破解:黑客在短時間內大量請求某一 url 嘗試猜解網站用戶名、密碼等信息,黑客利用暴力破解攻擊,猜解網站的用戶名、密碼,可以進一步攻擊網站。
- 非法請求方法:Web 應用服務器配置允許 put 請求方法請求,黑客可以構造非法請求方式上傳惡意文件入侵服務器。
- 撞庫:Web 應用對用戶登入功能沒做驗證碼驗證,黑客可以借助工具結合社工庫去猜網站用戶名及密碼。