常见的web攻击方式

javascript
  目录
  1. 1. 常见的web攻击方式
    1. 1.1. XSS
    2. 1.2. CSRF
    3. 1.3. 点击劫持
    4. 1.4. SQL注入
    5. 1.5. OS注入
    6. 1.6. 请求劫持
      1. 1.6.1. DNS劫持
      2. 1.6.2. HTTP劫持
    7. 1.7. DDOS

常见的web攻击方式

常见的web攻击方式

简要的介绍下web常见的几种攻击方式

XSS

详请见本站文章web安全之XSS

CSRF

详请见本站文章web安全之CSRF

点击劫持

比如你访问黑客网站A,A网站iframe引入了一个博客网站B,A网站将iframe透明化,并且在iframe下面放一张美女图片,图片上有一个更新美女信息的按钮,这个按钮正好跟B网站发布信息按钮重合,当你不在意的点击了图片上的按钮,实际你点击的是透明化的B网站的发布信息按钮。

SQL注入

SQL注入是对后端数据库的攻击
前端页面输入

1
2
用户名:admin
密码:1'or'1'='1

这里的密码是一段SQL语句,后台在利用前端传来的红户名和密码拼装好一段SQL语句,并查询就会返回true。
拼接后的SQL语句:

1
SELECT * FROM test WHERE username = 'admin' AND password = '1'or'1'='1';

OS注入

OS注入式针对操作系统的
以nodejs为例,假如在接口中需要从github下载用户指定的repo,代码如下:

1
2
3
const exec = require('mz/child_process').exec;
let params = // 用户输入的参数
exec(`git clone ${params.repo}`);

如果传入的参数是这样:

1
https://github.com/xx/xx.git && rm -rf /*

执行完拉取库的命令后继续执行一个删除当前路径下所有文件的操作。

请求劫持

DNS劫持

DNS服务器(DNS解析的各个步骤)被纂改,修改了域名解析的结果,使得访问到的不是预期的ip。

HTTP劫持

运营商劫持,此时大概只能升级HTTPS了。

DDOS

可以看一下阮老师的这篇文章

  面试题   web安全