常见的网络攻击主要有xss攻击,csrf攻击和sql注入等。
一、XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSS 攻击是指攻击者在网站上注入恶意的客户端代码,从而在用户使用浏览器进行访问时,获得用户隐私数据的一种行为。
XSS分为 反射型(非持久型)、存储型(持久型)和基于DOM
1.反射型
反射型 XSS 只是简单地把用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱使用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。反射型XSS是一次性的。
比如,在静态页面a.html存在一个恶意链接 攻击者发个虚假中奖的email,诱使用户进入a.html点击这个恶意链接 然后跳转到攻击者的页面,在攻击者的页面执行攻击脚本。
2.存储型
存储型 XSS 会把用户输入的数据 "存储" 在服务器端,当浏览器请求数据时,脚本从服务器上传回并执行。这种 XSS 攻击具有很强的稳定性。
比较常见的一个场景是攻击者在社区或论坛、网站留言上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。
比如在某论坛的某个贴子下面添加如下评论
“写的不错<script>alert(document.cookie)</script>”
3.基于DOM
只在客户端发生的攻击。 指客户端的恶意脚本可以修改dom,而不依赖于服务器端数据。