常见的网站攻击

常见的网站攻击
跨站脚本攻击XXS、DOS、SQL注入、CSRF、DNS劫持、点击劫持、DDOS劫持

一 、 XXS（跨站脚本攻击）

XSS是一种常见的web安全漏洞，它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。

二 、DOS（拒绝服务）

造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

三 、 SQL注入

攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。

四 、CSRF（跨站请求伪造）

是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
中文名 跨站请求伪造 外文名 CSRF

五、DNS劫持

通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。

六、 点击劫持
点击劫持，clickjacking，也被称为UI-覆盖攻击。
它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中标签的透明属性。

七 、DDOS劫持

DDOS攻击中，入侵者利用成百上千个被控制的节点向受害目标进行大规模的协同攻击，像在淹没受害的主机或网络。由于入侵来自很多节点，使得被入侵方的受害程度更加严重。同时这种入侵的范围更广，也更难于发现。
DDOS攻击系统基于服务器/客户机体系。在典型的DDOS攻击系统中，一个入侵者往往控制一个或几个主控端，再由其控制大量分布的代理端，这些代理端直接向受害节点泛洪数据包或实施其他dos入侵。