1.SQL注入漏洞,通过每种数据库的SQL语法和特性,进行攻击,例如:’or 1=1–’。
2.上传漏洞攻击,通常会与Web容器(IIS,Nginx,Apache,Tomcat)的解析漏洞配合在一起,例如IIS,当建立*.asp格式的文件夹时,该目录下的文件都会被当做asp文件来解析,及时是一个txt文件。
3.XSS跨站脚本漏洞攻击,通常是在网页中嵌入客户端脚本,比如js,在留言板上发表带有js内容的文本。
4.命令执行漏洞攻击,指攻击者可以随意执行系统命令,典型的例子:struts2 ONDL漏洞,通过这个漏洞可以执行任何系统操作命令。
5.文件包含漏洞,这种问题属于语言设计的弊端,比如PHP有4中文件包含的函数:include,include_one,require,require_once,通过这些函数不同的作用可以做点事情。
6.CSRF跨站请求伪造,通常表现为攻击者盗用的你身份(浏览器的会话,网上登录银行等),以你的名义进行某些非法操作。
7.逻辑错误漏洞攻击,一个系统功能太多以后,难免考虑不周而出现一些逻辑漏洞,从而被利用。
8.代码注入,客户端提交的代码在服务器接收当做动态代码或嵌入文件中处理,而引起的事故。通常有XML注入,JSON注入等。
9.URL跳转和钓鱼,一般都是检测URL是否是诈骗的,但是对于开发人员来说,通过URL不同形式的跳转可以避开,其中很多钓鱼也利用了。
10.WebServer远程部署(比如FTP,Tomcat,JBoss),如果远程部署配置不当,攻击者就可以通过远程部署功能入侵服务器。
11.旁注攻击,就是通过具有同一服务器的网站渗透到目标网站,从而获取目标网站点权限,比如很多服务都部署在云上,然后公用一台服务器。
12.WebShell
WebShell就是以ASP,PHP,JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门,黑客在入侵一个网站后,通常会将ASP或者PHP后门文件与网站服务器Web目录下正常文件混在一起,然后就可以使用浏览器登录页面,执行命令,以达到控制网站服务器的目的。
2505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
