1 . 跨站脚本攻击 (XSS)
hacker 提交恶意脚本 ,而工程师盲目信任用户的提交内容 ,直接把用户的提交转化成了 DOM ,后果是 hacker 可以窃取用户信息 ,hacker 可以随意制造 UI (例如弹窗),从而诱骗用户去点击 。
- 第一种 : Stored XSS (存储型的 XSS)
- 第二种: Reflected XSS (反射型的 XSS)
不涉及数据库 ,完全从 URL 进行攻击(服务器端)
- 第三种: DOM-based XSS (基于DOM的XSS)
从 URL 进行攻击(浏览器端)
- 第四种:
2 . 跨站伪造请求
如下图 :用户点击a链接(图片被加载) ,即可触发一次攻击
3 . 数据库注入 SQL Injection
sql注入就是把SQL命令插入到Web表单或输入域名或页面请求的查询字符串 ,最终达到欺骗服务器执行恶意的SQL命令。
4 . Denial of Service(DoS) 服务拒绝
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求 ,导致请求挤压 ,进而产生雪崩效应。
补充 :
hacker 向服务器端传入容易产生回溯的字符串。
5 . Distributed DoS(DDoS)
攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
6 . 基础传输层攻击 (中间人攻击)
中间人可以是家里的 路由器 ,恶意商家等。
产生得益于 :
