据统计,大约98%的网站都曾遭受过黑客攻击。也就是说,几乎所有的网站都被黑客“取暖”了。他们无时无刻不在关注我们的网站,有时他们对网站的关注度甚至超过我们。在此,我想对广大黑客朋友说一声:你们辛苦了。圣诞老人只会在平安夜给孩子们送上各种礼物,但黑客们更敬业,一年365天不间断,7x24小时值班,只要你的网站有机会,它就会毫不犹豫地尽到自己的职责。就像圣诞袜里的礼物一样,礼物有很多种,但并不总是包含宇宙飞船和航空母舰。它们总是在一个范围内。黑客送给站长的“礼物”虽然千奇百怪,但始终离不开它们。黑客会送出什么样的“礼物”?是时候揭开秘密了!这些网页攻击方式有的可以植入恶意代码,有的可以获取网站权限,有的还可以获取网站用户隐私信息。常见的网页攻击多达28种,手段之多,破坏力惊人!SQL注入Web应用程序没有对用户提交的数据进行过滤和转义,导致后端数据库服务器执行黑客提交的sql语句。黑客可以利用SQL注入攻击拖拽数据库,植入webshel??l,进而入侵服务器。XSS跨站Web应用没有对用户提交的数据进行过滤和转义,导致黑客提交的javascript代码被浏览器执行。黑客利用xss跨站攻击构造恶意蠕虫,劫持网站cookies,获取键盘记录器,植入恶意挖矿js代码。命令注入Web应用程序不会对用户提交的数据进行过滤或转义,导致服务器执行黑客提交的命令。黑客利用登录注入攻击在服务器中植入后门,直接逆向shell入侵服务器。CSRFWeb应用程序没有验证某些请求的来源,导致登录用户的浏览器执行黑客伪造的HTTP请求,应用程序认为这是受害者发起的合法请求。黑客可以利用CSRF攻击进行一些未经授权的操作,如添加后台管理员、删除文章等。目录遍历Web应用程序没有控制相关目录的访问权限,对用户提交的数据没有进行过滤或转义,导致服务器敏感文件泄露。黑客可以利用目录遍历攻击获取服务器配置文件,进而入侵服务器。本地文件包括Web应用不控制对相关目录的访问,不对用户提交的数据进行过滤或转义,导致服务器敏感文件泄露。黑客可以利用本地文件遏制漏洞获取服务器敏感文件,植入webshel??l入侵服务器。远程文件包含Web应用程序不过滤或转义用户提交的文件名,导致远程恶意文件的引入。黑客利用远程文件遏制漏洞加载远程恶意文件,导致恶意代码执行并获取服务器权限。木马后门Web应用程序没有对用户提交的数据进行过滤和转义,导致木马代码执行。黑客利用木马后门攻击入侵服务器。缓冲区溢出HTTP协议没有限制请求头的字节大小,导致提交大量数据,可能导致恶意代码的执行。文件上传web应用没有为文件名加上后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,向服务器上传包含恶意代码的文件,最终导致服务器被黑。ScannerScanning黑客使用漏洞扫描器扫描网站,以发现网络应用程序中的漏洞,最后利用相关漏洞对网站进行攻击。高级爬虫自动化程度高,可以识别setcookie等简单的爬虫保护方式。传统的爬虫自动化程度较低,可以通过一些简单的保护算法来识别,比如setcookie。敏感信息泄露Web应用过滤用户提交的数据,导致应用抛出异常,泄露敏感信息。黑客可能会利用泄露的敏感信息进一步攻击网站。服务器错误Web应用配置错误,导致服务器报错并泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。非法文件下载Web应用程序不控制对敏感文件(密码、配置、备份、数据库等)的访问,导致敏感文件被下载。黑客可以利用下载的敏感文件进一步攻击网站。第三方组件漏洞Web应用程序使用存在漏洞的第三方组件,导致网站被攻击。XPATH注入web应用在用xpath解析xml时,没有过滤用户提交的数据,导致恶意构造的语句被xpath执行。黑客可以利用xpath注入攻击获取xml文档的重要信息。XML注入Web应用程序使用较旧或配置不当的XML处理器解析XML文档中的外部实体引用,导致服务器解析外部引入的xml实体。黑客可以利用XML注入攻击获取服务器敏感文件、端口扫描攻击、dos攻击等。LDAP注入防护Web应用使用ldap协议访问目录,对用户提交的数据不进行过滤或转义,导致服务器执行恶意的ldap语句。黑客可以利用ldap注入获取用户信息,提升权限。SSI注入Web服务器配置ssi,将用户输入嵌入到html中,导致服务器执行恶意ssi命令。黑客利用ssi注入来执行系统命令。Webshel??l黑客试图连接到网站上可能存在的webshel??l。黑客可能会使用中国菜刀等工具连接webshel??l入侵服务器。暴力破解黑客在短时间内请求大量url,试图猜测网站用户名、密码等信息。黑客通过暴力破解来猜测网站的用户名和密码,进而对网站进行进一步的攻击。非法请求方法Web应用服务器配置允许put请求方法请求,黑客可以构造非法请求方法上传恶意文件入侵服务器。凭证数据库Web应用程序不对用户登录功能进行验证码验证,黑客可以利用工具和社会工程数据库来猜测网站用户名和密码。固定会话Web应用程序使用固定cookie会话,导致cookie劫持。IP黑名单中的某个IP被确认为恶意IP。被waf拦截后,所有请求都会被拦截。动态IP黑名单中的某个IP发送了很多攻击请求,会被waf自动屏蔽一段时间。请求被阻止。以上就是常见的web攻击类型,多达28种!俗话说,欲成天下第一盾,必先懂天下第一枪。
