1. XSS
跨站脚本攻击
危害:伪造登录页,用户输入账号密码登陆后。通过new Image方式发送登录态给黑客,黑客获取登陆态之后就拥有用户权限了。
获取⻚页⾯面数据
获取Cookies
劫持前端逻辑
发送请求
偷取⽹网站的任意数据
偷取⽤用户的资料料
偷取⽤用户的秘密和登录态
欺骗⽤用户
- 反射型 - url参数直接注⼊
- 存储型 - 存储到DB后读取时注⼊
防范:
- httpOnly Cookie
- CSP
- 转义字符
- 白名单
2. CSRF
跨站请求伪造
⽤用户已经登录了了站点 A,并在本地记录了了 cookie
在⽤用户没有登出站点 A 的情况下(也就是 cookie ⽣生效的情况下),访问了了恶意攻击者提供的引
诱危险站点 B (B 站点要求访问站点A)。
站点 A 没有做任何 CSRF 防御3. 攻击劫持
点击劫持是⼀一种视觉欺骗的攻击⼿手段。攻击者将需要攻击的⽹网站通过 iframe 嵌套的⽅方式嵌⼊入⾃自 ⼰己的⽹网⻚页中,并将 iframe 设置为透明,在⻚页⾯面中透出⼀一个按钮诱导⽤用户点击。
4. SQL注入
5. 请求劫持
此攻击通过向目标发送具有欺骗性源IP地址的大量TCP”初始连接请求”SYN数据包来利用TCP握手。目标机器响应每个连接请求,然后等待握手中的最后一步,这一步从未发生过,耗尽了进程中的目标资源。
- HTTP Flood
此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新-大量HTTP请求泛滥服务器,导致拒绝服务。
若有收获,就点个赞吧
0 人点赞
