Web攻击主要来源于黑客、恶意软件和犯罪组织。黑客通常利用漏洞和弱点进行非法访问和破坏,恶意软件则通过下载或点击可疑链接等方式感染用户设备,犯罪组织则通过勒索、欺诈和盗窃等方式获取非法利益。这些攻击者通常会利用Web应用程序的漏洞和弱点,如SQL注入、跨站脚本攻击(XSS)等,来破坏网站的安全性、窃取敏感信息或破坏系统的正常运行。加强Web应用程序的安全性,修复漏洞和弱点,是防止Web攻击的重要措施。
WEB基本攻击大致可以分为三大类—— “资源枚举”、“参数操纵” 和 “其它攻击”
资源枚举:遍历站点所有可访问的目录,然后把一些常见的备胎文件名(sql.bak”、“index-副本.html”)一个个都枚举一下,如果运气好枚举到了就直接下载。
参数操纵:包括了SQL注入、XPath注入、cgi命令执行,还有XXS和会话劫持等,xxs攻击指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的
cookie劫持:通过获取页面的权限,在页面中写一个简单的到恶意站点的请求,并携带用户的cookie,获取cookie后通过cookie
就可以直以被盗用户的身份登录站点
0