常見的 Web 攻擊有哪些

常見的web攻擊方式如下：

• SQL注入：Web應用未對用戶提交的數據做過濾或者轉義，導致后端數據庫服務器執行了黑客提交的sql語句。黑客利用sql注入攻擊可進行拖庫、植入webshell，進而入侵服務器。

• XSS跨站：Web應用未對用戶提交的數據做過濾或者轉義，導致黑客提交的javascript代碼被瀏覽器執行。黑客利用xss跨站攻擊，可以構造惡意蠕蟲、劫持網站cookie、獲取鍵盤記錄、植入惡意挖礦js代碼。

• 命令注入：Web應用未對用戶提交的數據做過濾或者轉義，導致服務器端執行了黑客提交的命令。黑客利用登入注入攻擊，可以對服務器植入后門、直接反彈shell入侵服務器。

• CSRF：Web應用對某些請求未對來源做驗證，導致登錄用戶的瀏覽器執行黑客偽造的HTTP請求，并且應用程序認為是受害者發起的合法請求的請求。黑客利用CSRF攻擊可以執行一些越權操作如添加后臺管理員、刪除文章等。

• 目錄遍歷：Web應用對相關目錄未做訪問權限控制，并且未對用戶提交的數據做過濾或者轉義，導致服務器敏感文件泄露。黑客利用目錄遍歷攻擊，可獲取服務器的配置文件，進而入侵服務器。

• 木馬后門：Web應用未對用戶提交的數據做過濾或者轉義，導致木馬代碼執行。黑客利用木馬后門攻擊，可以入侵服務器。

• 緩沖區溢出：http協議未對請求頭部做字節大小限制，導致可以提交大量數據因此可能導致惡意代碼被執行。

• 文件上傳:Web應用未對文件名后綴，上傳數據包是否合規，導致惡意文件上傳。文件上傳攻擊，將包含惡意代碼的文件上傳到服務器，最終導致服務器被入侵。

• 掃描器掃描:黑客利用漏洞掃描器掃描網站，可以發現web應用存在的漏洞，最終利用相關漏洞攻擊網站。

• 高級爬蟲:爬蟲自動化程度較高可以識別setcookie等簡單的爬蟲防護方式。

• 常規爬蟲:爬蟲自動化程度較低，可以利用一些簡單的防護算法識別,如setcookie的方式。

• 敏感信息泄露:web應用過濾用戶提交的數據導致應用程序拋出異常，泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網站。

• 服務器錯誤:Web應用配置錯誤，導致服務器報錯從而泄露敏感信息，黑客可能利用泄露的敏感信息進一步攻擊網站。

• 非法文件下載:Web應用未對敏感文件(密碼、配置、備份、數據庫等)訪問做權限控制，導致敏感文件被下載，黑客利用下載的敏感文件可以進一步攻擊網站。

• 第三方組件漏洞:Web應用使用了存在漏洞的第三方組件，導致網站被攻擊。

• XPATH注入:Web應用在用xpath解析xml時未對用戶提交的數據做過濾，導致惡意構造的語句被xpath執行。黑客利用xpath注入攻擊，可以獲取xml文檔的重要信息。

• XML注入:Web應用程序使用較早的或配置不佳的XML處理器解析了XML文檔中的外部實體引用，導致服務器解析外部引入的xml實體。黑客利用xml注入攻擊可以獲取服務器敏感文件、端口掃描攻擊、dos攻擊。

• LDAP注入防護:Web應用使用ldap協議訪問目錄，并且未對用戶提交的數據做過濾或轉義，導致服務端執行了惡意ldap語句，黑客利用ldap注入可獲取用戶信息、提升權限。

• SSI注入:Web服務器配置了ssi，并且html中嵌入用戶輸入，導致服務器執行惡意的ssi命令。黑客利用ssi注入可以執行系統命令。

• Webshell黑客連接嘗試去連接網站可能存在的webshell，黑客可能通過中國菜刀等工具去連接webshell入侵服務器。

• 暴力破解:黑客在短時間內大量請求某一url嘗試猜解網站用戶名、密碼等信息，黑客利用暴力破解攻擊，猜解網站的用戶名、密碼，可以進一步攻擊網站。

• 非法請求方法:Web應用服務器配置允許put請求方法請求，黑客可以構造非法請求方式上傳惡意文件入侵服務器。

• 撞庫:Web應用對用戶登入功能沒做驗證碼驗證，黑客可以借助工具結合社工庫去猜網站用戶名及密碼。

回答所涉及的環境：聯想天逸510S、Windows 10。