Web 常见攻击方式(前端/后端核心高频类型)
1. XSS(跨站脚本攻击):最常见前端相关攻击,攻击者注入恶意脚本(JS/HTML),在用户浏览器执行,窃取Cookie、伪造操作,分存储型(脚本存服务端,如评论区)、反射型(URL带脚本,诱导点击)、DOM型(仅前端DOM解析执行,不经过服务端)3类。 2. CSRF/XSRF(跨站请求伪造):诱导用户在已登录目标网站时,点击恶意链接/访问恶意页面,冒用用户身份发送非法请求(如转账、改密码),核心是利用用户登录态和浏览器自动携带Cookie的特性。 3. SQL注入:后端高危攻击,攻击者在输入框/URL参数中拼接恶意SQL语句,篡改、窃取、删除数据库数据(如账号密码、业务数据),无参数化查询的项目极易中招。 4. 点击劫持:恶意网站嵌套目标网站的iframe,设置透明覆盖层,诱导用户点击iframe内的敏感按钮(如支付、授权),用户肉眼看不到真实点击对象,从而完成非法操作。 5. DDOS/DoS(分布式/拒绝服务攻击):通过海量请求(或畸形请求)耗尽目标服务器的带宽、CPU、内存资源,让正常用户无法访问网站,DDOS是多节点协同发起的大规模DoS攻击。 6. 接口越权(水平/垂直越权):权限管控漏洞,水平越权是同权限用户访问他人数据(如A看B的个人信息),垂直越权是低权限用户访问高权限接口(如普通用户调用管理员删数据接口)。 7. 文件上传漏洞:网站未对上传文件做校验,攻击者上传恶意脚本文件(如.php/.jsp),再通过访问文件路径执行脚本,获取服务器控制权。 8. 敏感信息泄露:网站未做数据脱敏,直接返回敏感数据(如用户手机号、身份证、完整Cookie);或报错信息暴露服务器版本、数据库结构,给攻击者提供攻击线索。 9. CORS 配置不当:跨域资源共享配置宽松(如允许所有域名访问),导致恶意网站可以跨域请求目标网站的敏感接口数据,突破浏览器同源策略限制。 10. JWT 相关攻击:JWT密钥泄露、未做过期校验,或使用弱签名算法,攻击者伪造、篡改JWT令牌,冒用他人身份登录系统。
核心防护核心要点(精简可落地)
- XSS:输入过滤、输出转义、开启CSP策略、设置Cookie的HttpOnly属性。
- CSRF:加Token校验、验证Referer/Origin、Cookie设置SameSite属性。
- SQL注入:强制使用参数化查询、避免拼接SQL、最小权限配置数据库账号。
- 越权:接口加精准权限校验,每个接口都验证操作者是否有权限访问目标资源。
