认识达内从这里开始

随着互联网的不断发展，越来越多的企业和用户都开始关注网络安全等问题，而本文我们就简单来了解一下，常见网络攻击形式都有哪些。

1、SQL注入攻击

名词解释：SQL注入攻击(SQLInjection)，简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，甚至执行系统命令等，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

2、文件上传

名词解析：文件上传漏洞是指由于程序代码未对用户提交的文件进行严格的分析和检查，导致攻击者可以上传可执行的代码文件，从而获取Web应用的控制权限(Getshell)。

3、权限漏洞

名词解析：访问控制是指用户对系统所有访问的权限控制，通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞，很难通过日常的安全工具扫描或防护，通常会造成大量用户数据泄露事件。

水平越权：同一权限(角色)级别的用户之间所产生的问题，如A用户可以未授权访问B用户的数据等。

垂直越权：不同权限(角色)级别的用户之间所产生的问题，如普通用户可未授权进行管理操作，未登录用户可以访问需授权应用等。

4、暴力破解

名词解析：暴力破解是指攻击者通过遍历或字典的方式，向目标发起大量请求，通过判断返回数据包的特征来找出正确的验证信息，从而绕过验证机制。随着互联网众多网站的数据库被泄露，攻击者选择的样本可以更具针对性，暴力破解的成功率也在不断上升。

5、拒绝服务攻击

名词解析：拒绝服务攻击(DoS，DenialofService)是利用合理的请求造成资源过载，从而导致服务不可用的一种攻击方式。分为针对Web应用层的攻击、客户端/APP的攻击。

6、敏感信息泄露

名词解析：敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用，进行诈骗、账户窃取等，给用户和企业带来严重的不良影响。并且信息一旦信息被泄露，影响会很难消除。

7、业务逻辑漏洞

名词解析：业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞，如用户找回密码缺陷，攻击者可重置任意用户密码;如短信漏洞，攻击者可无限制利用接口发送短信，恶意消耗企业短信资费，骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密，常规的安全设备无法有效检测出，多数需要人工根据业务场景及特点进行分析检测。

8、跨站脚本攻击(XSS)

名词解析：跨站脚本攻击(XSS,CrossSiteScript)通常指黑客通过“HTML注入”篡改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。XSS漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS是目前客户端Web安全中重要的漏洞。

XSS按效果的不同可以分为以下3种。

反射型XSS攻击：页面仅把用户输入直接回显在页面或源码中，需要诱使用户点击才能成功。

存储型XSS攻击：XSS攻击代码会被存储在服务器中，由于用户可能会主动浏览被攻击页面，此种方法危害较大。

DOM型XSS攻击：通过修改页面的DOM节点形成XSS，严格来讲也可划为反射型XSS。

9、跨站点请求伪造(CSRF)

名词解析：跨站点请求伪造(CSRF,CrossSiteRequestForgery)。由于重要操作的所有参数都是可以被攻击者猜到，攻击者即可伪造请求，利用用户身份完成攻击操作，如发布文章、购买商品、转账、修改资料甚至密码等。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加抖音太原达内IT培训学习了解。