常見的Web攻擊方式有哪些?黑客:28種總有一款適合你
有數據顯示,有約98%的網站曾經遭受黑客攻擊。也就是說,幾乎所有的網站,都被黑客送過“溫暖”,它們無時無刻都在關注著我們的網站,有時候他們對網站的關注程度,甚至超過了我們。
在這里,給廣大的黑客朋友們說一句:“你們辛苦了。”
圣誕老人只會在平安夜,給孩子們送去各種各樣的禮物,黑客們卻更加敬業,365天全年無休,7x24小時值班蹲守,只要你的網站有可乘之機,它就會毫不猶豫,盡職盡責。
就像圣誕襪里的禮物一樣,禮物雖然五花八門,但總不會裝著宇宙飛船和航空母艦,它總在一個范圍內。黑客們送給站長們的“禮物”雖然千奇百怪,但也總離不開那幾樣。
黑客們會送什么樣的“禮物”呢?是時候揭秘一下了!
這些Web攻擊手段,有些可植入惡意代碼,有些可獲取網站權限,有些還能獲取網站用戶隱私信息。光常見的Web攻擊,就有28種之多,方式多、破壞力驚人!
SQL注入
Web應用未對用戶提交的數據做過濾或者轉義,導致后端數據庫服務器執行了黑客提交的sql語句。黑客利用sql注入攻擊可進行拖庫、植入webshell,進而入侵服務器。
XSS跨站
Web應用未對用戶提交的數據做過濾或者轉義,導致黑客提交的javascript代碼被瀏覽器執行。黑客利用xss跨站攻擊,可以構造惡意蠕蟲、劫持網站cookie、獲取鍵盤記錄、植入惡意挖礦js代碼。
命令注入
Web應用未對用戶提交的數據做過濾或者轉義,導致服務器端執行了黑客提交的命令。黑客利用登入注入攻擊,可以對服務器植入后門、直接反彈shell入侵服務器。
CSRF
Web應用對某些請求未對來源做驗證,導致登錄用戶的瀏覽器執行黑客偽造的HTTP請求,并且應用程序認為是受害者發起的合法請求的請求。黑客利用CSRF攻擊可以執行一些越權操作如添加后臺管理員、刪除文章等。
目錄遍歷
Web應用對相關目錄未做訪問權限控制,并且未對用戶提交的數據做過濾或者轉義,導致服務器敏感文件泄露。黑客利用目錄遍歷攻擊,可獲取服務器的配置文件,進而入侵服務器。
本地文件包含
Web應用對相關目錄未做訪問權限控制,并且未對用戶提交的數據做過濾或者轉義,導致服務器敏感文件泄露。黑客利用本地文件包含漏洞,可以獲取服務器敏感文件、植入webshell入侵服務器。
遠程文件包含
Web應用未對用戶提交的文件名做過濾或者轉義,導致引入遠程的惡意文件。黑客利用遠程文件包含漏洞,可以加載遠程的惡意文件,導致惡意代碼執行、獲取服務器的權限。
木馬后門
Web應用未對用戶提交的數據做過濾或者轉義,導致木馬代碼執行。黑客利用木馬后門攻擊,可以入侵服務器。
緩沖區溢出
http協議未對請求頭部做字節大小限制,導致可以提交大量數據因此可能導致惡意代碼被執行。
文件上傳
Web應用未對文件名后綴,上傳數據包是否合規,導致惡意文件上傳。文件上傳攻擊,將包含惡意代碼的文件上傳到服務器,最終導致服務器被入侵。
掃描器掃描
黑客利用漏洞掃描器掃描網站,可以發現web應用存在的漏洞,最終利用相關漏洞攻擊網站。
高級爬蟲
爬蟲自動化程度較高可以識別setcookie等簡單的爬蟲防護方式。
常規爬蟲
爬蟲自動化程度較低,可以利用一些簡單的防護算法識別,如setcookie的方式。
敏感信息泄露
web應用過濾用戶提交的數據導致應用程序拋出異常,泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網站。
服務器錯誤
Web應用配置錯誤,導致服務器報錯從而泄露敏感信息,黑客可能利用泄露的敏感信息進一步攻擊網站。
非法文件下載
Web應用未對敏感文件(密碼、配置、備份、數據庫等)訪問做權限控制,導致敏感文件被下載,黑客利用下載的敏感文件可以進一步攻擊網站。
第三方組件漏洞
Web應用使用了存在漏洞的第三方組件,導致網站被攻擊。
XPATH注入
Web應用在用xpath解析xml時未對用戶提交的數據做過濾,導致惡意構造的語句被xpath執行。黑客利用xpath注入攻擊,可以獲取xml文檔的重要信息。
XML注入
Web應用程序使用較早的或配置不佳的XML處理器解析了XML文檔中的外部實體引用,導致服務器解析外部引入的xml實體。黑客利用xml注入攻擊可以獲取服務器敏感文件、端口掃描攻擊、dos攻擊。
LDAP注入防護
Web應用使用ldap協議訪問目錄,并且未對用戶提交的數據做過濾或轉義,導致服務端執行了惡意ldap語句,黑客利用ldap注入可獲取用戶信息、提升權限。
SSI注入
Web服務器配置了ssi,并且html中嵌入用戶輸入,導致服務器執行惡意的ssi命令。黑客利用ssi注入可以執行系統命令。
Webshell
黑客連接嘗試去連接網站可能存在的webshell,黑客可能通過中國菜刀等工具去連接webshell入侵服務器。
暴力破解
黑客在短時間內大量請求某一url嘗試猜解網站用戶名、密碼等信息,黑客利用暴力破解攻擊,猜解網站的用戶名、密碼,可以進一步攻擊網站。
非法請求方法
Web應用服務器配置允許put請求方法請求,黑客可以構造非法請求方式上傳惡意文件入侵服務器。
撞庫
Web應用對用戶登入功能沒做驗證碼驗證,黑客可以借助工具結合社工庫去猜網站用戶名及密碼。
固定會話
Web應用使用固定的cookie會話,導致cookie劫持。
IP黑名單
某一被確認為惡意ip,被waf拉黑后,所有請求都會被攔截
動態IP黑名單
某一ip發送了較多攻擊請求,會被waf自動拉黑一段時間,該時間段內所有的請求都被攔截。
以上就是常見的Web攻擊類型,足足有28種之多!正所謂想要成為世界上最堅固的盾牌,必須先了解世界上最好的矛。
