SQL注入
SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。
XSS
XSS(Cross Site Scripting):跨域脚本攻击。向你的页面注入脚本(可能是js、hmtl代码等),执行一些操作,或者获取用户信息。例如通过js获取cookie值:
<script type="text/javascript">
alert(document.cookie)</script>
CSRF
CSRF(Cross-site request forgery):跨站请求伪造。攻击者盗用用户身份,伪造用户的身份发送请求。
会话重放
指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
越权访问
水平越权:权限一样的两个用户可以访问对方的信息数据或者进行操作。
垂直越权:普通用户通过越权可以访问到更高级别用户的操作权限。普通用户登录后,可以输入高级别用户的访问路径进行操作。
DDOS攻击
分布式拒绝服务攻击是指通过分式,协同大规模的方式在同一时间对服务器进行攻击,目标使服务器无法正常提供服务。
目录遍历
应用程序对用户的输入未经合理校验,就传送给一个文件API。攻击者可能会使用一些特殊的字符(如..
和/
)摆脱受保护的限制,访问一些受保护的文件或目录。