总览
| 攻击类型 | 描述 |
|---|---|
| XSS(跨站脚本) | 攻击者向Web页面注入恶意脚本,当用户浏览该页时,脚本会在用户的浏览器上执行,从而窃取敏感信息、会话劫持等。 |
| CSRF(跨站请求伪造) | 攻击者诱使用户在当前已登录的Web应用程序上执行不期望的操作,如转账、发送消息等,而这些操作是由攻击者精心构造的恶意请求触发的。 |
| SQL注入 | 攻击者通过Web表单或输入域向应用程序提交恶意的SQL代码,使后端数据库执行非预期的SQL命令,从而获取、篡改或删除数据库中的数据。 |
| 命令注入 | 类似于SQL注入,但攻击者注入的是可以在服务器上执行的操作系统命令,从而控制服务器或访问敏感文件。 |
| 目录遍历 | 攻击者通过请求包含特殊路径字符(如"../")的URL来访问Web服务器上的受限目录和文件。 |
| 缓冲区溢出 | 攻击者向Web应用程序发送超出其处理能力的数据,导致程序崩溃或执行恶意代码。 |
| 文件上传漏洞 | Web应用程序允许用户上传文件时,如果没有对上传的文件进行充分的验证和过滤,攻击者可能会上传恶意文件(如病毒、木马),从而控制服务器或执行恶意操作。 |
| 会话劫持 | 攻击者通过拦截用户的会话标识符(如Cookie),从而接管用户的会话,执行用户的权限范围内的操作。 |
| 跨站请求伪造(CSRF)Token未验证 | Web应用程序未能正确验证CSRF Token,使得攻击者能够构造恶意请求,诱使用户在不知情的情况下执行敏感操作。 |
| HTTP头注入 | 攻击者通过向Web应用程序注入恶意的HTTP头部字段,影响应用程序的行为或窃取敏感信息。 |
| 逻辑漏洞 | Web应用程序中的业务逻辑错误或漏洞,使得攻击者能够绕过安全控制,执行未授权的操作。 |
About 31 min