跳转至

常见网页攻击

1. SQL 注入(SQL Injection)

  • 什么意思:攻击者在输入框或者 URL 里输入恶意 SQL 语句,试图操作数据库,比如获取用户密码或删除数据。
  • 举例:登录框输入 ' OR '1'='1,绕过密码验证。

2. 跨站脚本攻击(XSS)

  • 什么意思:攻击者在网站里插入恶意 JavaScript 代码,当其他用户访问页面时,代码会在他们浏览器执行,可能窃取 cookie 或个人信息。
  • 举例:在评论区写 <script>偷cookie()</script>

3. 跨站请求伪造(CSRF)

  • 什么意思:攻击者诱导用户在已登录的情况下执行不想做的操作。
  • 举例:你登录了银行网站,然后点击一个看似无害的链接,结果给别人转了钱。

4. 文件包含漏洞(LFI/RFI)

  • 什么意思:攻击者通过 URL 或输入让服务器加载本地或远程的文件,从而获取敏感信息或执行恶意代码。
  • 举例:访问 http://example.com/page.php?file=../../etc/passwd 可能泄露系统用户信息。

5. 命令注入

  • 什么意思:攻击者在输入里写入系统命令,让服务器执行,可能获取控制权。
  • 举例:在表单输入 ; rm -rf / 试图删除服务器文件(如果没防护,很危险)。

6. 目录遍历

  • 什么意思:通过修改 URL 路径,访问原本不能访问的服务器目录或文件。
  • 举例/images/../../config.php 访问敏感配置文件。

7. 拒绝服务攻击(DoS/DDoS)

  • 什么意思:大量请求把网站打瘫痪,让正常用户无法访问。
  • 举例:同时用上万台电脑访问一个网站,服务器挂掉。

8. 身份认证绕过

  • 什么意思:攻击者找到漏洞绕过登录或权限控制,直接访问受保护资源。
  • 举例:通过修改 URL 参数直接访问管理员页面。