web應用常見的安全漏洞有哪些

本篇內容介紹了“web應用常見的安全漏洞有哪些”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

1.SQL 注入

SQL 注入就是通過給 web 應用接口傳入一些特殊字符，達到欺騙服務器執(zhí)行惡意的 SQL 命令。

SQL 注入漏洞屬于后端的范疇，但前端也可做體驗上的優(yōu)化。

原因：當使用外部不可信任的數(shù)據(jù)作為參數(shù)進行數(shù)據(jù)庫的增、刪、改、查時，如果未對外部數(shù)據(jù)進行過濾，就會產生 SQL 注入漏洞。

2.XSS 攻擊

XSS 攻擊全稱跨站腳本攻擊(Cross-Site Scripting)，簡單的說就是攻擊者通過在目標網(wǎng)站上注入惡意腳本并運行，獲取用戶的敏感信息如 Cookie、SessionID 等，影響網(wǎng)站與用戶數(shù)據(jù)安全。

XSS 攻擊更偏向前端的范疇，但后端在保存數(shù)據(jù)的時候也需要對數(shù)據(jù)進行安全過濾。

原因：當攻擊者通過某種方式向瀏覽器頁面注入了惡意代碼，并且瀏覽器執(zhí)行了這些代碼。

3.CSRF 攻擊

CSRF 攻擊全稱跨站請求偽造(Cross-site Request Forgery)，簡單的說就是攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。

解決方案：防止 CSRF 攻擊需要在服務器端入手，基本的思路是能正確識別是否是用戶發(fā)起的請求。

4.DDoS 攻擊

DoS 攻擊全稱拒絕服務(Denial of Service)，簡單的說就是讓一個公開網(wǎng)站無法訪問，而 DDoS 攻擊(分布式拒絕服務 Distributed Denial of Service)是 DoS 的升級版。這個就完全屬于后端的范疇了。

原因：攻擊者不斷地提出服務請求，讓合法用戶的請求無法及時處理，這就是 DoS 攻擊。

攻擊者使用多臺計算機或者計算機集群進行 DoS 攻擊，就是 DDoS 攻擊。

5.XXE 漏洞

XXE 漏洞全稱 XML 外部實體漏洞(XML External Entity)，當應用程序解析 XML 輸入時，如果沒有禁止外部實體的加載，導致可加載惡意外部文件和代碼，就會造成任意文件讀取、命令執(zhí)行、內網(wǎng)端口掃描、攻擊內網(wǎng)網(wǎng)站等攻擊。

這個只在能夠接收 XML 格式參數(shù)的接口才會出現(xiàn)。

6.JSON 劫持

JSON 劫持(JSON Hijacking)是用于獲取敏感數(shù)據(jù)的一種攻擊方式，屬于 CSRF 攻擊的范疇。

原因：一些 Web 應用會把一些敏感數(shù)據(jù)以 json 的形式返回到前端，如果僅僅通過 Cookie 來判斷請求是否合法，那么就可以利用類似 CSRF 的手段，向目標服務器發(fā)送請求，以獲得敏感數(shù)據(jù)。

7.暴力破解

這個一般針對密碼而言，弱密碼(Weak Password)很容易被別人(對你很了解的人等)猜到或被破解工具暴力破解。

“web應用常見的安全漏洞有哪些”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關的知識可以關注億速云網(wǎng)站，小編將為大家輸出更多高質量的實用文章！