常见的 web 攻击

常见的 web 攻击类别

常见的 Web 攻击有如下几种：

1. XSS 攻击，全称跨站脚本攻击；
2. SQL Injection，又称为 SQL 注入攻击；
3. CSRF 攻击，全称跨站请求伪造；
4. ClickJacking 攻击，全称点击劫持；
5. Dos 攻击，全称为拒绝服务攻击；

XSS 攻击

简介

XSS（Cross Site Script），全称是跨站脚本攻击；为了和层叠样式表（CSS）有所区分，所以缩写为 XSS。XSS 是一种 web 安全漏洞。该攻击能够绕过同源策略，让恶意 web 用户将代码植入到提供给其余用户使用的页面中。在 2007 年 OWASP 所统计的安全威胁中，跨站脚本攻击占到了 22%，高居全部 web 威胁之首。

危害

1. 该攻击可能盗取用户帐号，如用户网银帐号，各种管理员帐号等；
2. 盗取企业商业资料、控制篡改企业敏感数据等；
3. 控制受害者机器向其余网站发起攻击等；

事件

2011 年，hellosamy 利用新浪微博存在的 XSS 漏洞，使用新浪提供的短域名服务，当新浪登陆用户不当心访问到相关网页时，因为处于登陆状态，会运行 js 脚本发微博、加关注、发私信传播危险连接。

SQL Injection 攻击

简介

SQL Injection 叫作 SQL 注入，是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字符串之中注入 SQL 指令，在设计不良的程序当中忽略了字符检查，那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的 SQL 指令而运行，所以遭到破坏或是入侵。

危害

1. 数据表中的数据外泄，例如企业及我的的机密数据、帐户数据、密码等；
2. 数据结构被黑客探知，得以作进一步攻击；
3. 数据库服务器被攻击，系统管理员帐户被篡改；
4. 数去系统较高权限后，可能会在网页加入恶意连接、恶意代码等；
5. 破坏硬盘数据，瘫痪全系统等。

CSRF 攻击

简介

CSRF（Cross-site request forgery）跨站请求伪造，也被称为 One Click Attack 或者 Session Riding，一般缩写为 CSRF 或者 XSRF，是一种挟制用户在当前登陆的 web 执行非本意的操做的攻击方法。一般状况下，攻击者借助受害者的 Cookie 骗取服务器的信任，受害者在不知情的状况下向受攻击的服务器发送请求，从而在未受权的状况下执行权限内的操做。与XSS 攻击相比，CSRF 攻击每每不大流行（所以对其进行防范的资源也至关稀少）和难以防范，因此被认为比 XSS 更具危险性。

ClickJacking 攻击

简介

ClickJacking 叫作点击劫持，也叫做界面假装（UI redressing），是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。举例来讲，如用户收到一封包含一段视频的电子邮件，但其中的“播放”按钮并不会真正播放视频，而是链入一购物网站。这样当用户试图“播放视频”时，实际是被诱骗而进入了一个购物网站。

DDos 攻击

简介

DDos（denial-of-service attack）拒绝服务攻击，也成为洪水攻击，其目的在于使目标计算机的网络或系统资源耗尽，使服务暂时中断或中止，致使其正经常使用户没法访问。当黑客使用网络上两个或以上被攻陷的计算机做为“僵尸”向特定的目标发动“拒绝服务”式攻击时，称为分布式拒绝服务攻击（distributed denial-of-service attack，简称 DDoS 攻击）。据 2014 年统计，被确认为大规模 DDoS 的攻击已达平均每小时 28 次。DDoS 发起者通常针对重要服务和知名网站进行攻击，如银行、信用卡支付网关、甚至根域名服务器等。

事件

2018 年 3 月，源代码托管服务 GitHub 遭到迄今为止规模最大的 DDoS 攻击。

参考连接

• 关于Web安全常见的攻防姿式：juejin.im/post/5c9767…
• 维基百科
• 百度百科