#常见的Web攻击方式有哪些？黑客：28种够不够？总有一款适合你

本文链接：https://blog.youkuaiyun.com/xnxqwzy/article/details/146078491

常见的Web攻击方式有哪些？黑客：28种够不够？总有一款适合你

有数据显示，有约98%的网站曾经遭受黑客攻击。也就是说，几乎所有的网站，都被黑客送过“温暖”，它们无时无刻都在关注着我们的网站，有时候他们对网站的关注程度，甚至超过了我们。

在这里，给广大的黑客朋友们说一句：“你们辛苦了。”

圣诞老人只会在平安夜，给孩子们送去各种各样的礼物，黑客们却更加敬业，365天全年无休，7x24小时值班蹲守，只要你的网站有可乘之机，它就会毫不犹豫，尽职尽责。

就像圣诞袜里的礼物一样，礼物虽然五花八门，但总不会装着宇宙飞船和航空母舰，它总在一个范围内。黑客们送给站长们的“礼物”虽然千奇百怪，但也总离不开那几样。

黑客们会送什么样的“礼物”呢？是时候揭秘一下了！

这些Web攻击手段，有些可植入恶意代码，有些可获取网站权限，有些还能获取网站用户隐私信息。光常见的Web攻击，就有28种之多，方式多、破坏力惊人！

SQL注入

Web应用未对用户提交的数据做过滤或者转义，导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell，进而入侵服务器。

XSS跨站

Web应用未对用户提交的数据做过滤或者转义，导致黑客提交的javascript代码被浏览器执行。黑客利用xss跨站攻击，可以构造恶意蠕虫、劫持网站cookie、获取键盘记录、植入恶意挖矿js代码。

命令注入

Web应用未对用户提交的数据做过滤或者转义，导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击，可以对服务器植入后门、直接反弹shell入侵服务器。

CSRF

Web应用对某些请求未对来源做验证，导致登录用户的浏览器执行黑客伪造的HTTP请求，并且应用程序认为是受害者发起的合法请求的请求。黑客利用CSRF攻击可以执行一些越权操作如添加后台管理员、删除文章等。

目录遍历

Web应用对相关目录未做访问权限控制，并且未对用户提交的数据做过滤或者转义，导致服务器敏感文件泄露。黑客利用目录遍历攻击，可获取服务器的配置文件，进而入侵服务器。

本地文件包含

Web应用对相关目录未做访问权限控制，并且未对用户提交的数据做过滤或者转义，导致服务器敏感文件泄露。黑客利用本地文件包含漏洞，可以获取服务器敏感文件、植入webshell入侵服务器。

远程文件包含

Web应用未对用户提交的文件名做过滤或者转义，导致引入远程的恶意文件。黑客利用远程文件包含漏洞，可以加载远程的恶意文件，导致恶意代码执行、获取服务器的权限。

木马后门

Web应用未对用户提交的数据做过滤或者转义，导致木马代码执行。黑客利用木马后门攻击，可以入侵服务器。

缓冲区溢出

http协议未对请求头部做字节大小限制，导致可以提交大量数据因此可能导致恶意代码被执行。

文件上传

Web应用未对文件名后缀，上传数据包是否合规，导致恶意文件上传。文件上传攻击，将包含恶意代码的文件上传到服务器，最终导致服务器被入侵。

扫描器扫描

黑客利用漏洞扫描器扫描网站，可以发现web应用存在的漏洞，最终利用相关漏洞攻击网站。

高级爬虫

爬虫自动化程度较高可以识别setcookie等简单的爬虫防护方式。

常规爬虫

爬虫自动化程度较低，可以利用一些简单的防护算法识别,如setcookie的方式。

敏感信息泄露

web应用过滤用户提交的数据导致应用程序抛出异常，泄露敏感信息，黑客可能利用泄露的敏感信息进一步攻击网站

服务器错误

Web应用配置错误，导致服务器报错从而泄露敏感信息，黑客可能利用泄露的敏感信息进一步攻击网站。

非法文件下载

Web应用未对敏感文件(密码、配置、备份、数据库等)访问做权限控制，导致敏感文件被下载，黑客利用下载的敏感文件可以进一步攻击网站。

第三方组件漏洞

Web应用使用了存在漏洞的第三方组件，导致网站被攻击。

XPATH注入

Web应用在用xpath解析xml时未对用户提交的数据做过滤，导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击，可以获取xml文档的重要信息。

XML注入

Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用，导致服务器解析外部引入的xml实体。黑客利用xml注入攻击可以获取服务器敏感文件、端口扫描攻击、dos攻击。

LDAP注入防护

Web应用使用ldap协议访问目录，并且未对用户提交的数据做过滤或转义，导致服务端执行了恶意ldap语句，黑客利用ldap注入可获取用户信息、提升权限。

SSI注入

Web服务器配置了ssi，并且html中嵌入用户输入，导致服务器执行恶意的ssi命令。黑客利用ssi注入可以执行系统命令。

Webshell

黑客连接尝试去连接网站可能存在的webshell，黑客可能通过中国菜刀等工具去连接webshell入侵服务器。

暴力破解

黑客在短时间内大量请求某一url尝试猜解网站用户名、密码等信息，黑客利用暴力破解攻击，猜解网站的用户名、密码，可以进一步攻击网站。

非法请求方法

Web应用服务器配置允许put请求方法请求，黑客可以构造非法请求方式上传恶意文件入侵服务器。

撞库

Web应用对用户登入功能没做验证码验证，黑客可以借助工具结合社工库去猜网站用户名及密码。

固定会话

Web应用使用固定的cookie会话，导致cookie劫持。

IP黑名单

某一被确认为恶意ip，被waf拉黑后，所有请求都会被拦截

动态IP黑名单

某一ip发送了较多攻击请求，会被waf自动拉黑一段时间，该时间段内所有的请求都被拦截。

蔚可云web应用防火墙架构图

以上就是常见的Web攻击类型，足足有28种之多！正所谓想要成为世界上最坚固的盾牌，必须先了解世界上最好的矛。

尽管像蔚可云这样的云产品及服务提供商，都有提供Web应用防火墙服务，但作为网站管理员，了解这些攻击类型，不仅能使用云产品更得心应手，而且还能给日后业务拓展打下预防针。
接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。