1、被破坏的认证和 Session 管理——Session token 没被非常不错的保护 在用户推出系统后,黑客可以偷窃 session。
2、DNS攻击——黑客借助DNS漏洞进行欺骗DNS服务器,从而达到使DNS分析不正常,IP地址被转向致使网站服务器没办法正常打开。DNS攻击主如果域名劫持,是指在劫持的互联网范围内拦截域名分析的请求,剖析请求的域名,把审察范围以外的请求放行,不然返回假的IP地址或者什么都不做使请求失去响应,其成效就是对特定的互联网不可以访问或访问的是假网址。
3、缓冲区溢出——攻击者借助超出缓冲区大小的请求和架构的二进制代码让服务器实行溢出堆栈中的恶意指令。缓冲区溢出是一种很常见、很危险的漏洞,在各种操作系统、应用软件中广泛存在。借助缓冲区溢出攻击,可以致使程序运行失败、系统宕机、重新启动等后果。更为紧急的是,可以借助它实行非授权指令,甚至可以获得系统特权,进而进行各种非法操作。
4、cookie假冒——精心修改cookie数据进行用户假冒。cookies欺骗是通过盗取、修改、伪造cookies的内容来欺骗Web系统,并得到相应权限或者进行相应权限操作的一种攻击方法。正如大家所了解的,在互联网词语中,cookie是一个特殊的信息,虽然只不过服务器存于用户计算机上的一个文本文件,但因为其内容的不一般性(与服务器有肯定的互交性,且常会存储用户名,甚至口令,或是其它一些敏锐信息,比如在江湖或是一些社区中,常会用cookie来保存用户集分,等级等等)。因而成为一些高手关注的对象,借此来获得特殊权限,甚至攻克整个网站。
5、SQL注入——架构SQL代码让服务器实行,获得敏锐数据。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查看字符串,最后达到欺骗服务器实行恶意的SQL命令。具体来讲,它是借助现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎实行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是根据设计者意图去实行SQL语句。
6、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。
7、认证逃避——攻击者借助不安全的证书和身份管理。
8、非法输入——在动态网页的输入中用各种非法数据,获得服务器敏锐数据。
9、拒绝服务攻击——架构很多的非法请求,使Web服务器不可以响应正常用户的访问。拒绝服务攻击即是攻击者想方法让目的机器停止提供服务,是黑客常见的攻击方法之一。其实对互联网带宽进行的消耗性攻击只不过拒绝服务攻击的一小部分,只须可以对目的导致麻烦,使某些服务被中止甚至主机死机,都是拒绝服务攻击。
10、跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息。用户在浏览网站、用即时通讯软件、甚至在阅读邮件时,一般会点击其中的链接。攻击者通过在链接中插入恶意代码,就可以盗取用户信息。攻击者一般会用十六进制(或其他编码方法)将链接编码,以免用户怀疑它的合法性。网站在接收到包括恶意代码的请求之后会产成一个包括恶意代码的页面,而这个页面看着就像是那个网站应当生成的合法页面一样。很多时尚的留言本和平台程序允许用户发表包括HTML和javascript的帖子。假设用户甲发表了一篇包括恶意脚本的帖子,那样用户乙在浏览这篇帖子时,恶意脚本就会实行,盗取用户乙的session信息。
11、强制访问——访问未授权的网页。
12、隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序。
