常见的web安全漏洞有哪些
1.钓鱼网站吧 ,通过点击钓鱼链接,然后盗取用户其他站点信息,然后使用用户的信息,骗过其他站点,获取非法>长处/p>
2.屏幕劫持吧,用户点击的其实不是正确的,而是隐藏的某区域,然后偷偷发送某些用户信息到后台。
3.还有就是,点击、访问某些站点,会下载病毒,譬如挖矿病毒,然后利用分布式的Pc帮助病毒制造者挖矿。
1、sql注入:通过给web应用接口传入一些特殊字符,达到欺骗服务器,执行恶意的SQL命令。利用该漏洞可以读取数据库信息。
2、XSS:跨站脚本攻击(Cross-SiteScripting),向web页面注入可执行的恶意代码,利用该漏洞可以读取目标网站cookie发送到黑客服务器上。
3、CSRF:跨站请求伪造(Cross-siteRequestForgery),诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户请求,达到攻击的目的。
4、DDoS攻击:攻击者不断地发出服务请求,让合法用户的请求无法及时处理,最终就是让一个网站无法访问。
5、XXE:XML外部实体漏洞(XMLExternalEntity),当应用程序解析XML输入时,如果没有禁止外部实体的加载,导致可加载恶意外部文件和代码,就会造成任意文件读取、命令执行、内网端口扫描、攻击内网网站等攻击。
6、JSON劫持:用于获取敏感数据的一种攻击方式,属于CSRF攻击的范畴。
7、暴力破解:
这个一般针对密码而言,弱密码(WeakPassword)很容易被别人(对你很了解的人等)猜到或被破解工具暴力破解。
8、HTTP报头追踪漏洞:
HTTP/1.1(RFC2616)规范定义了HTTPTRACE方法,主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。
9、信息泄露:由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。
10、目录遍历漏洞:
攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加../、或者附加../的一些变形(如..\或..//甚至其编码),导致攻击者能够访问未授权的目录,以及在Web服务器的根目录以外执行命令。
11、命令执行漏洞:命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息、篡改系统配置、控制整个系统、使系统瘫痪等。
12、文件上传漏洞:通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
13:框架或应用>毛病/p>
14、SSLStrip攻击
15、OpenSSLHeartbleed安全>毛病/p>
16、CCS注入>毛病/p>
17、证书有效性验证>毛病/p>
1.sql注入;
2.跨站脚本;
3.弱口令漏洞;
4.http报头追踪漏洞;
5.struts远程命令执行漏洞;
6.文件上传漏洞;
7.私有ip地址泄露漏洞;
8.未加密登陆请求;
9.敏感信息泄露;
10.CSRF;
