WEB攻擊類型有哪些

本篇內容介紹了“WEB攻擊類型有哪些”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

概念

XSS全稱為Cross Site Script，即跨站點腳本攻擊，XSS攻擊是最為普遍且中招率最多的web攻擊方式，一般攻擊者通過在網頁惡意植入攻擊腳本來篡改網頁，在用戶瀏覽網頁時就能執行惡意的操作，像html、css、img都有可能被攻擊。

像前不久微信貌似就中招，好像是在朋友圈發送一個帶有腳本的鏈接，然后通過點擊該鏈接就會彈出一個提示，雖然沒有造成什么影響，但這是XSS攻擊最鮮明的特點。

分類

XSS現在主要分為以下兩種攻擊類型：

1、反射型漏洞

這種類型攻擊者一般通過在網頁中嵌入含有惡意攻擊腳本的鏈接，或者通過發送帶腳本的鏈接給受害者，這個腳本鏈接是攻擊者自己的服務器，用戶通過點擊該鏈接就能達到攻擊的目的。如http://www.test.com/p=<script src=... />，這樣受害者的網頁就嵌入了這段腳本，受害者通過點擊鏈接觸發攻擊腳本。

新浪微博曾經就出現過一次較為嚴重的XSS攻擊事件，攻擊者通過發送一個帶有鏈接的微博誘導用戶點擊，通過點擊腳本鏈接大量用戶自動發送某些不良信息和私信并自動關注攻擊者的微博賬號，這是典型的反射型漏洞。

這次新浪微博事件顯然是一次推廣營銷而已，并沒有嚴重影響新浪的服務，然而現實中攻擊者可以通過竊取用戶cookie獲取用戶名密碼等重要信息來偽造用戶交易、竊取用戶的財產等影響用戶財產安全的惡意行為。

2、存儲型漏洞

這種類型是影響最為廣泛的且危害網站安全自身的攻擊方式，攻擊者通過上傳惡意腳本到網站服務器或保存到數據庫中，惡意腳本就會包含在網頁中，這樣會導致所有瀏覽該網頁的用戶有中招的可能。這種攻擊類型一般常見在博客、論壇等網站中。

防御手段

1、危險字符過濾

即對用戶輸入的危險字符進行轉義，如>轉義為"&gt"，<轉義為"&lt" ，如果被轉義有誤解，可以對<script src=..這種類型的<才進行轉義，這樣就能避免大部分的XSS攻擊。

2、使用http only的cookie

httpOnly由微軟在IE中提出，禁止用戶在瀏覽器中通過腳本訪問帶有httpOnly的cookie。有了這個特性，如果是用戶敏感信息保存在cookie中的，可以通過在cookie加下httpOnly屬性避免XSS攻擊cookie造成用戶信息泄漏。

“WEB攻擊類型有哪些”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！