一、存储型XSS攻击,攻击者通过网站留言板提交一段恶意js代码,数据库将恶意js代码存储起来,只要有用户访问留言板,接口返回带有恶意js代码的数据,恶意js代码默认自动执行,通过img标签src的特性,发送给攻击者一封携带cookie的邮件
image.png
image.png
二、CSRF攻击,又叫跨站请求伪造,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。攻击者可以在不获取用户cookie的情况下,进行非法操作。
1.受害者登录a.com,并保留了登录凭证(Cookie)。
2.攻击者引诱受害者访问了b.com。
3.在b.com网站里,请求了a.com网站的接口
4.a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
image.png
image.png
三、文件上传,通过上传恶意脚本文件,并执行该脚本文件,达到控制服务器的目的。攻击者必须知道文件上传后的url访问路径,脚本才能执行。
四、ddos攻击,一般是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,以致目标服务器瘫痪而无法访问。DDoS 是网络世界里最常见又最令人头疼的问题。其最可怕之处就在于虽然攻击成本很低,但是防御它所需要的成本却很高,造成的损失往往也非常可怕。
image.png
