有數(shù)據(jù)顯示，有約98%的網(wǎng)站曾經(jīng)遭受黑客攻擊。也就是說(shuō)，幾乎所有的網(wǎng)站，都被黑客送過(guò)“溫暖”，它們無(wú)時(shí)無(wú)刻都在關(guān)注著我們的網(wǎng)站，有時(shí)候他們對(duì)網(wǎng)站的關(guān)注程度，甚至超過(guò)了我們。

在這里，給廣大的黑客朋友們說(shuō)一句：“你們辛苦了。”

圣誕老人只會(huì)在平安夜，給孩子們送去各種各樣的禮物，黑客們卻更加敬業(yè)，365天全年無(wú)休，7x24小時(shí)值班蹲守，只要你的網(wǎng)站有可乘之機(jī)，它就會(huì)毫不猶豫，盡職盡責(zé)。

[[378664]]

就像圣誕襪里的禮物一樣，禮物雖然五花八門，但總不會(huì)裝著宇宙飛船和航空母艦，它總在一個(gè)范圍內(nèi)。黑客們送給站長(zhǎng)們的“禮物”雖然千奇百怪，但也總離不開(kāi)那幾樣。

黑客們會(huì)送什么樣的“禮物”呢?是時(shí)候揭秘一下了!

這些Web攻擊手段，有些可植入惡意代碼，有些可獲取網(wǎng)站權(quán)限，有些還能獲取網(wǎng)站用戶隱私信息。光常見(jiàn)的Web攻擊，就有28種之多，方式多、破壞力驚人!

SQL注入

Web應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致后端數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行了黑客提交的sql語(yǔ)句。黑客利用sql注入攻擊可進(jìn)行拖庫(kù)、植入webshell，進(jìn)而入侵服務(wù)器。

XSS跨站

Web應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致黑客提交的javascript代碼被瀏覽器執(zhí)行。黑客利用xss跨站攻擊，可以構(gòu)造惡意蠕蟲(chóng)、劫持網(wǎng)站cookie、獲取鍵盤記錄、植入惡意挖礦js代碼。

命令注入

Web應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器端執(zhí)行了黑客提交的命令。黑客利用登入注入攻擊，可以對(duì)服務(wù)器植入后門、直接反彈shell入侵服務(wù)器。

CSRF

Web應(yīng)用對(duì)某些請(qǐng)求未對(duì)來(lái)源做驗(yàn)證，導(dǎo)致登錄用戶的瀏覽器執(zhí)行黑客偽造的HTTP請(qǐng)求，并且應(yīng)用程序認(rèn)為是受害者發(fā)起的合法請(qǐng)求的請(qǐng)求。黑客利用CSRF攻擊可以執(zhí)行一些越權(quán)操作如添加后臺(tái)管理員、刪除文章等。

目錄遍歷

Web應(yīng)用對(duì)相關(guān)目錄未做訪問(wèn)權(quán)限控制，并且未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務(wù)器的配置文件，進(jìn)而入侵服務(wù)器。

本地文件包含

Web應(yīng)用對(duì)相關(guān)目錄未做訪問(wèn)權(quán)限控制，并且未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致服務(wù)器敏感文件泄露。黑客利用本地文件包含漏洞，可以獲取服務(wù)器敏感文件、植入webshell入侵服務(wù)器。

遠(yuǎn)程文件包含

Web應(yīng)用未對(duì)用戶提交的文件名做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致引入遠(yuǎn)程的惡意文件。黑客利用遠(yuǎn)程文件包含漏洞，可以加載遠(yuǎn)程的惡意文件，導(dǎo)致惡意代碼執(zhí)行、獲取服務(wù)器的權(quán)限。

木馬后門

Web應(yīng)用未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或者轉(zhuǎn)義，導(dǎo)致木馬代碼執(zhí)行。黑客利用木馬后門攻擊，可以入侵服務(wù)器。

緩沖區(qū)溢出

http協(xié)議未對(duì)請(qǐng)求頭部做字節(jié)大小限制，導(dǎo)致可以提交大量數(shù)據(jù)因此可能導(dǎo)致惡意代碼被執(zhí)行。

文件上傳

Web應(yīng)用未對(duì)文件名后綴，上傳數(shù)據(jù)包是否合規(guī)，導(dǎo)致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務(wù)器，最終導(dǎo)致服務(wù)器被入侵。

掃描器掃描

黑客利用漏洞掃描器掃描網(wǎng)站，可以發(fā)現(xiàn)web應(yīng)用存在的漏洞，最終利用相關(guān)漏洞攻擊網(wǎng)站。

高級(jí)爬蟲(chóng)

爬蟲(chóng)自動(dòng)化程度較高可以識(shí)別setcookie等簡(jiǎn)單的爬蟲(chóng)防護(hù)方式。

常規(guī)爬蟲(chóng)

爬蟲(chóng)自動(dòng)化程度較低，可以利用一些簡(jiǎn)單的防護(hù)算法識(shí)別,如setcookie的方式。

[[378666]]

敏感信息泄露

web應(yīng)用過(guò)濾用戶提交的數(shù)據(jù)導(dǎo)致應(yīng)用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。

服務(wù)器錯(cuò)誤

Web應(yīng)用配置錯(cuò)誤，導(dǎo)致服務(wù)器報(bào)錯(cuò)從而泄露敏感信息，黑客可能利用泄露的敏感信息進(jìn)一步攻擊網(wǎng)站。

非法文件下載

Web應(yīng)用未對(duì)敏感文件(密碼、配置、備份、數(shù)據(jù)庫(kù)等)訪問(wèn)做權(quán)限控制，導(dǎo)致敏感文件被下載，黑客利用下載的敏感文件可以進(jìn)一步攻擊網(wǎng)站。

第三方組件漏洞

Web應(yīng)用使用了存在漏洞的第三方組件，導(dǎo)致網(wǎng)站被攻擊。

XPATH注入

Web應(yīng)用在用xpath解析xml時(shí)未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾，導(dǎo)致惡意構(gòu)造的語(yǔ)句被xpath執(zhí)行。黑客利用xpath注入攻擊，可以獲取xml文檔的重要信息。

XML注入

Web應(yīng)用程序使用較早的或配置不佳的XML處理器解析了XML文檔中的外部實(shí)體引用，導(dǎo)致服務(wù)器解析外部引入的xml實(shí)體。黑客利用xml注入攻擊可以獲取服務(wù)器敏感文件、端口掃描攻擊、dos攻擊。

LDAP注入防護(hù)

Web應(yīng)用使用ldap協(xié)議訪問(wèn)目錄，并且未對(duì)用戶提交的數(shù)據(jù)做過(guò)濾或轉(zhuǎn)義，導(dǎo)致服務(wù)端執(zhí)行了惡意ldap語(yǔ)句，黑客利用ldap注入可獲取用戶信息、提升權(quán)限。

SSI注入

Web服務(wù)器配置了ssi，并且html中嵌入用戶輸入，導(dǎo)致服務(wù)器執(zhí)行惡意的ssi命令。黑客利用ssi注入可以執(zhí)行系統(tǒng)命令。

Webshell

黑客連接嘗試去連接網(wǎng)站可能存在的webshell，黑客可能通過(guò)中國(guó)菜刀等工具去連接webshell入侵服務(wù)器。

暴力破解

黑客在短時(shí)間內(nèi)大量請(qǐng)求某一url嘗試猜解網(wǎng)站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網(wǎng)站的用戶名、密碼，可以進(jìn)一步攻擊網(wǎng)站。

非法請(qǐng)求方法

Web應(yīng)用服務(wù)器配置允許put請(qǐng)求方法請(qǐng)求，黑客可以構(gòu)造非法請(qǐng)求方式上傳惡意文件入侵服務(wù)器。

撞庫(kù)

Web應(yīng)用對(duì)用戶登入功能沒(méi)做驗(yàn)證碼驗(yàn)證，黑客可以借助工具結(jié)合社工庫(kù)去猜網(wǎng)站用戶名及密碼。

固定會(huì)話

Web應(yīng)用使用固定的cookie會(huì)話，導(dǎo)致cookie劫持。

IP黑名單

某一被確認(rèn)為惡意ip，被waf拉黑后，所有請(qǐng)求都會(huì)被攔截

動(dòng)態(tài)IP黑名單

某一ip發(fā)送了較多攻擊請(qǐng)求，會(huì)被waf自動(dòng)拉黑一段時(shí)間，該時(shí)間段內(nèi)所有的請(qǐng)求都被攔截。

以上就是常見(jiàn)的Web攻擊類型，足足有28種之多!正所謂想要成為世界上最堅(jiān)固的盾牌，必須先了解世界上最好的矛。