文章目录
API伪造攻击是网络攻击的子集,两者既有交集也有差异。
- API伪造攻击:聚焦于利用接口漏洞伪造身份、篡改参数或滥用逻辑,核心类型包括CSRF、SSRF、JWT伪造、参数篡改、重放攻击等(共10类,详见下文)。
- 网络攻击:覆盖更广,包含DDoS、钓鱼攻击、恶意软件、中间人攻击、APT攻击等(共20类,详见下文)。
两者本质区别在于攻击面:API攻击针对接口业务逻辑,网络攻击涵盖网络层至应用层的全方位威胁。
一、API伪造攻击详解
1. 攻击类型与原理
| 攻击类型 | 原理描述 | 典型场景示例 |
|---|---|---|
| CSRF攻击 | 利用用户已登录状态伪造请求(如修改密码) | 依赖Cookie/Session鉴权的接口 |
| SSRF攻击 | 通过API参数操控服务器发起内部请求(如探测内网) | 文件下载、网页预览功能 |
| JWT伪造 | 篡改Token签名或算法(如弱密钥破解、alg=none) |
JWT身份校验不严谨的接口 |
| 参数篡改</ |
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
