当前位置：首页 > article >正文

web常见的攻击方式

article 2025/12/25 7:36:32

web攻击（webAttack）是针对用户上网行为或网站服务器等设备进行攻击的行为，如植入恶意代码、修改网站权限、获取网站用户隐私等等，即使是代码在的很小的bug也有可能导致隐私信息被泄漏，站点安全就是保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践，我们常见的web攻击方式有：
XSS（cross site scripting）跨站脚本攻击
CSRF（cross-site request forgery）跨站请求伪造
SQL注入攻击

1、XSS

XSS（cross site scripting）跨站脚本攻击：允许攻击者将恶意代码植入到提供给其他用户使用的页面中，XSS涉及三方，即攻击者、客户端和web应用，XSS攻击的目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息，一旦获取到合法的用户信息后，攻击者可以假冒合法用户与网站进行交互。
根据攻击的来源，XSS可以分为反射型、存储型、DOM型。

反射型：
攻击步骤：
1、攻击者构造出特殊的URL，其中包含恶意代码；
2、用户打开带有恶意代码的URL时，网站服务器将恶意代码从URL中抽取，拼接在HTML中返回给浏览器；
3、用户浏览器收到相应后解析执行，混在其中的恶意代码也被恶意执行；
4、恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户行为，调用目标网站接口执行攻击者指定的操作。
反射型XSS与存储型XSS的区别是，存储型的恶意代码存在数据库里，反射型的恶意代码存在URL里。
反射型XSS漏洞常见于通过URL传递参数的功能，如网站搜索、跳转等。
由于需要用户主动打开恶意的URL才能生效，攻击者往往会结合多种手段有道用户点击。

<input type="text" value="<%= getKeyWord('keyWord') %>">
<button>搜索</button>
<div>
您搜索的关键字是：<%= getKeyWord('keyWord') %>
</div>
// 如果用户输入“><script> alert('XSS');</script>, 拼接到HTML中返回给浏览器
<input type="text" value=""><script> alert('XSS');</script>">
<button>搜索</button>
<div>
您搜索的关键字是：“><script> alert('XSS');</script>
</div>
// 浏览器无法识别<script> alert('XSS');</script>是恶意代码，因而将其执行

存储型：
攻击步骤：
1、攻击者将恶意代码提交到目标网站的数据库中；
2、用户打开目标网站时，网站服务器将恶意代码从数据库中取出，拼接在HTML中返回给浏览器；
3、用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行；
4、恶意代码窃取用户的数据并发送到攻击者的网站，或者冒充用户行为，调用目标网站接口执行攻击者的指定操作。
这种攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

DOM型：
攻击步骤：
1、攻击者构造出特殊的URL，其中包含恶意代码；
2、用户打开带有恶意代码的URL；
3、用户浏览器接收到响应后，解析执行，前端JavaScript取出URL中的恶意代码并执行；
4、恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户行为，调用目标服务器接口执行攻击者指定的操作。
DOM型跟前两种的区别是，DOM型XSS攻击中，取出和执行恶意代码由浏览器端完成，属于前端JavaScript自身安全漏洞而其他两种XSS都属于服务端的安全漏洞。

var html = "Image" + parseInt(num) + "<br/>"
html += "<img src='/level3/cloud" + num + ".jpg'/>"
$('#content').html(html )
// 如果num传入的值从url中取的
num = unescape(self.location.hash.substr(1))
// 此时在hash后面输入恶意代码 'onerror="alert()",src属性引用了不正确的地址会触法error，并执行脚本

SQL注入

是通过将恶意的sql查询或添加语句插入到应用的输入参数中，再在后台sql服务器上执行进行的攻击。
流程如下：
1、找出SQL漏洞的注入点；
2、判断数据库的类型与版本；
3、拆解用户名和密码；
4、利用工具查找web后台管理入口；入侵和破坏。
预防方式：
严格检查输入变量的类型与格式；
过滤和转译特殊字符；
对当问数据库的web应用程序采用web应用防火墙；

CSRF

CSRF跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。

web常见的攻击方式

1、XSS

SQL注入

CSRF

相关文章：

web常见的攻击方式

【微信小程序 + 高德地图API 】键入关键字搜索地址，获取经纬度等

java中如何优雅处理多租户系统的查询？

排序算法之线性时间排序:计数排序,基数排序,桶排序详解

Linux | mdadm 创建软 RAID

物联网工程毕业设计课题实践指南

CodeEdit：macOS上一款可以让Xcode退休的IDE

LLaMA-Factory 微调 Qwen2-7B-Instruct

mac本地docker镜像上传指定虚拟机

从代码学习深度学习 - 风格迁移 PyTorch版

软件设计师考试《综合知识》设计模式之——工厂模式与抽象工厂模式考点分析

轻量级离线版二维码工具的技术分析与开发指南

中级网络工程师知识点4

机器学习--特征工程具体案例

LeetCode 每日一题 2025/5/12-2025/5/18

Unreal 从入门到精通之SceneCaptureComponent2D实现UI层3D物体360°预览

电机控制杂谈（25）——为什么对于一般PMSM系统而言相电流五、七次谐波电流会比较大？

多模态大语言模型arxiv论文略读（七十八）

项目中把webpack 打包改为vite 打包

【C语言】易错题经典题型

哈夫曼编码：数据压缩的优雅艺术

说一说Node.js高性能开发中的I/O操作

扫描网络内所有设备的IP地址

web3 前端常见错误类型以及错误捕获处理

应用层协议简介：以 HTTP 和 MQTT 为例

LeetCode 39. 组合总和 LeetCode 40.组合总和II LeetCode 131.分割回文串

如何在 Windows 11 或 10 上安装 Fliqlo 时钟屏保

Linux云计算训练营笔记day08（MySQL数据库）

计算机视觉与深度学习｜ matlab实现EMD-CNN-LSTM时间序列预测（完整源码、数据、公式)

【vue】【环境配置】项目无法npm run serve，显示node版本过低