攻击
在 Web 安全中,攻击是指攻击者用来达成其目标的特定方法。例如,如果其目标是窃取用户的数据,那么跨站脚本攻击 (XSS) 就是他们可能使用的一种方法。任何给定的攻击都可以通过一种或多种缓解措施来应对:例如,XSS 可以通过正确地清理数据并实施 内容安全策略 来应对。
此页面链接到解释一些常见攻击的原理以及如何缓解它们的页面。
- 点击劫持
-
在点击劫持攻击中,攻击者创建一个伪造的网站,该网站将目标网站嵌入到
<iframe>元素中。它会隐藏<iframe>,并在其上方覆盖一些伪造的元素。当用户与这些伪造的元素交互时,他们会在无意中与目标网站进行交互,并可能被诱骗在目标网站上执行他们不打算执行的操作。 - 跨站请求伪造 (CSRF)
-
在跨站请求伪造 (CSRF) 攻击中,攻击者会诱骗用户或浏览器从恶意网站向目标网站发送 HTTP 请求。该请求包含用户的凭据,并导致服务器执行某些有害操作,而服务器却认为用户是故意为之。
- 跨站泄露 (XS-Leaks)
-
跨站泄漏 (XS-Leaks) 是一类攻击,攻击者可以通过使用允许网站相互交互的 Web 平台 API,从其网站中获取有关目标网站或用户与目标网站关系的信息。
- 跨站脚本 (XSS)
-
在跨站脚本攻击 (XSS) 中,网站会接受攻击者精心构造的输入,并错误地将其包含在网站自己的页面中,从而导致浏览器将其作为代码执行。然后,恶意代码就可以执行网站自己的前端代码可以做的任何事情。
- 不安全直接对象引用 (IDOR)
-
在不安全的直接对象引用 (IDOR) 攻击中,攻击者利用不足的访问控制和不安全的aught对象标识符暴露,例如数据库密钥或文件路径。
- 中间人攻击 (MITM)
-
在中间人攻击 (MITM) 中,攻击者将自己插入到用户浏览器和服务器之间,并可以看到并可能修改通过 HTTP 交换的所有流量。
- 网络钓鱼
-
网络钓鱼是一种 社会工程学 攻击,攻击者通过诱骗用户相信他们正在登录目标网站,但实际上他们正在与攻击者控制的虚假网站进行交互,从而窃取用户的 凭据。
- 原型污染
-
JavaScript 原型污染是一种漏洞,攻击者可以向对象原型添加或修改属性。这意味着恶意值可能会意外地出现在应用程序的对象中,通常会导致逻辑错误或导致其他攻击,例如 跨站脚本攻击 (XSS)。
- 服务器端请求伪造 (SSRF)
-
服务器端请求伪造 (SSRF) 是一种漏洞,它允许攻击者向任意目标发起 HTTP(或其他网络)请求。SSRF 使这些请求源自服务器内部,而服务器通常比外部客户端拥有更广泛的访问权限。
- 子域劫持
-
在子域接管攻击中,攻击者会获得对目标域的某个子域的控制权。
- 供应链攻击
-
在供应链攻击中,攻击者会破坏网站供应链的一部分,例如它使用的任何第三方依赖项。