这是我参与「第四届青训营 」笔记创作活动的第三天

XSS跨站脚本攻击

攻击者在网页中嵌入恶意脚本代码（javascript），当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者目的。 特点是：

• 通常难以从UI感知（暗地执行脚本）
• 窃取用户信息（cookie/token）
• 绘制UI（例如弹窗），诱骗用户点击/填写表单

入侵者可以利用恶意脚本代码冒充管理员的身份登录后台窃取数据，更改或删除信息，或者将恶意代码嵌入Web应用程序当中，当用户浏览页面时，用户的计算机将会被植入木马。

存储型XSS攻击（Stroed XSS）

具有持久性，攻击者将这种类型的恶意代码存储在服务器数据库，当用户访问这个网页就会触发代码，一般出现在留言板或者评论区板块的页面，危害最大，对全部用户都可见

反射型XSS（Reflected XSS）

非持久化，需要用户点击攻击者伪装好的恶意代码才能实现，不会涉及数据库，直接从URL上攻击

DOM型XSS（DOM-based XSS）

基于文档对象模型，不需要经过服务器的参与，在浏览器渲染解析渲染服务器源码的时候产生，恶意攻击的发起+执行，全部在浏览器完成。

Mutation-based XSS

利用浏览器渲染DOM的特性，在不同浏览器上会有区别，根据浏览器类型进行攻击

CSRF跨站伪造请求

在用户不知情的前提下，利用用户权限（token），构造指定HTTP请求，窃取或修改用户敏感信息

注入攻击Injection

读取请求字段直接以字符串的形式拼接SQL语句

Dos拒绝服务攻击

通过某种方式，导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

分布式拒绝服务攻击DDoS

短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法响应新请求。可以直接访问IP，任意API，消耗大量带宽

中间人攻击

明文传输，信息篡改可知，对方身份未验证