有數(shù)據(jù)顯示，有約98%的網(wǎng)站曾經遭受黑客攻擊。也就是說，幾乎所有的網(wǎng)站，都被黑客送過“溫暖”，它們無時無刻都在關注著我們的網(wǎng)站，有時候他們對網(wǎng)站的關注程度，甚至超過了我們。

在這里，給廣大的黑客朋友們說一句：“你們辛苦了。”

圣誕老人只會在平安夜，給孩子們送去各種各樣的禮物，黑客們卻更加敬業(yè)，365天全年無休，7x24小時值班蹲守，只要你的網(wǎng)站有可乘之機，它就會毫不猶豫，盡職盡責。

[[378664]]

就像圣誕襪里的禮物一樣，禮物雖然五花八門，但總不會裝著宇宙飛船和航空母艦，它總在一個范圍內。黑客們送給站長們的“禮物”雖然千奇百怪，但也總離不開那幾樣。

黑客們會送什么樣的“禮物”呢?是時候揭秘一下了!

這些Web攻擊手段，有些可植入惡意代碼，有些可獲取網(wǎng)站權限，有些還能獲取網(wǎng)站用戶隱私信息。光常見的Web攻擊，就有28種之多，方式多、破壞力驚人!

SQL注入

Web應用未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致后端數(shù)據(jù)庫服務器執(zhí)行了黑客提交的sql語句。黑客利用sql注入攻擊可進行拖庫、植入webshell，進而入侵服務器。

XSS跨站

Web應用未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致黑客提交的javascript代碼被瀏覽器執(zhí)行。黑客利用xss跨站攻擊，可以構造惡意蠕蟲、劫持網(wǎng)站cookie、獲取鍵盤記錄、植入惡意挖礦js代碼。

命令注入

Web應用未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致服務器端執(zhí)行了黑客提交的命令。黑客利用登入注入攻擊，可以對服務器植入后門、直接反彈shell入侵服務器。

CSRF

Web應用對某些請求未對來源做驗證，導致登錄用戶的瀏覽器執(zhí)行黑客偽造的HTTP請求，并且應用程序認為是受害者發(fā)起的合法請求的請求。黑客利用CSRF攻擊可以執(zhí)行一些越權操作如添加后臺管理員、刪除文章等。

目錄遍歷

Web應用對相關目錄未做訪問權限控制，并且未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致服務器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務器的配置文件，進而入侵服務器。

本地文件包含

Web應用對相關目錄未做訪問權限控制，并且未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致服務器敏感文件泄露。黑客利用本地文件包含漏洞，可以獲取服務器敏感文件、植入webshell入侵服務器。

遠程文件包含

Web應用未對用戶提交的文件名做過濾或者轉義，導致引入遠程的惡意文件。黑客利用遠程文件包含漏洞，可以加載遠程的惡意文件，導致惡意代碼執(zhí)行、獲取服務器的權限。

木馬后門

Web應用未對用戶提交的數(shù)據(jù)做過濾或者轉義，導致木馬代碼執(zhí)行。黑客利用木馬后門攻擊，可以入侵服務器。

緩沖區(qū)溢出

http協(xié)議未對請求頭部做字節(jié)大小限制，導致可以提交大量數(shù)據(jù)因此可能導致惡意代碼被執(zhí)行。

文件上傳

Web應用未對文件名后綴，上傳數(shù)據(jù)包是否合規(guī)，導致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務器，最終導致服務器被入侵。

掃描器掃描

黑客利用漏洞掃描器掃描網(wǎng)站，可以發(fā)現(xiàn)web應用存在的漏洞，最終利用相關漏洞攻擊網(wǎng)站。

高級爬蟲

爬蟲自動化程度較高可以識別setcookie等簡單的爬蟲防護方式。

常規(guī)爬蟲

爬蟲自動化程度較低，可以利用一些簡單的防護算法識別,如setcookie的方式。

[[378666]]

敏感信息泄露

web應用過濾用戶提交的數(shù)據(jù)導致應用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網(wǎng)站。

服務器錯誤

Web應用配置錯誤，導致服務器報錯從而泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網(wǎng)站。

非法文件下載

Web應用未對敏感文件(密碼、配置、備份、數(shù)據(jù)庫等)訪問做權限控制，導致敏感文件被下載，黑客利用下載的敏感文件可以進一步攻擊網(wǎng)站。

第三方組件漏洞

Web應用使用了存在漏洞的第三方組件，導致網(wǎng)站被攻擊。

XPATH注入

Web應用在用xpath解析xml時未對用戶提交的數(shù)據(jù)做過濾，導致惡意構造的語句被xpath執(zhí)行。黑客利用xpath注入攻擊，可以獲取xml文檔的重要信息。

XML注入

Web應用程序使用較早的或配置不佳的XML處理器解析了XML文檔中的外部實體引用，導致服務器解析外部引入的xml實體。黑客利用xml注入攻擊可以獲取服務器敏感文件、端口掃描攻擊、dos攻擊。

LDAP注入防護

Web應用使用ldap協(xié)議訪問目錄，并且未對用戶提交的數(shù)據(jù)做過濾或轉義，導致服務端執(zhí)行了惡意ldap語句，黑客利用ldap注入可獲取用戶信息、提升權限。

SSI注入

Web服務器配置了ssi，并且html中嵌入用戶輸入，導致服務器執(zhí)行惡意的ssi命令。黑客利用ssi注入可以執(zhí)行系統(tǒng)命令。

Webshell

黑客連接嘗試去連接網(wǎng)站可能存在的webshell，黑客可能通過中國菜刀等工具去連接webshell入侵服務器。

暴力破解

黑客在短時間內大量請求某一url嘗試猜解網(wǎng)站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網(wǎng)站的用戶名、密碼，可以進一步攻擊網(wǎng)站。

非法請求方法

Web應用服務器配置允許put請求方法請求，黑客可以構造非法請求方式上傳惡意文件入侵服務器。

撞庫

Web應用對用戶登入功能沒做驗證碼驗證，黑客可以借助工具結合社工庫去猜網(wǎng)站用戶名及密碼。

固定會話

Web應用使用固定的cookie會話，導致cookie劫持。

IP黑名單

某一被確認為惡意ip，被waf拉黑后，所有請求都會被攔截

動態(tài)IP黑名單

某一ip發(fā)送了較多攻擊請求，會被waf自動拉黑一段時間，該時間段內所有的請求都被攔截。

以上就是常見的Web攻擊類型，足足有28種之多!正所謂想要成為世界上最堅固的盾牌，必須先了解世界上最好的矛。