跨站请求伪造 (CSRF)
Published: Sat Feb 01 2025
一种利用已登录用户的浏览器,在用户不知情的情况下向受信任应用发送非预期请求的攻击方式。
常见互联网安全
关于常见 Web 和网络攻击的实战系列,深入解析其工作原理及防御手段。
每一章节均包含深入的技术解析、Mermaid 攻击流程图以及详细的代码级防御指南。
跨站脚本攻击 (XSS)
Published: Sat Feb 01 2025
一种代码注入攻击,恶意脚本在受害者的浏览器上下文中被执行。
SQL 注入 (SQLi)
Published: Sat Feb 01 2025
一种注入攻击,允许攻击者干扰应用程序对其数据库进行的查询。
NoSQL 注入
Published: Sat Feb 01 2025
一种针对 NoSQL 数据库的注入漏洞,通过恶意对象操纵查询结构或逻辑。
OS 命令注入
Published: Sat Feb 01 2025
一种关键漏洞,攻击者通过存在缺陷的应用代码在服务器上执行任意操作系统 (OS) 命令。
分布式拒绝服务攻击 (DDoS)
Published: Sat Feb 01 2025
一种恶意的企图,通过海量的互联网流量淹没目标服务器或其周边基础设施,从而破坏目标服务器的正常流量。
暴力破解攻击
Published: Sat Feb 01 2025
一种通过尝试所有可能的组合来猜测登录凭据或加密密钥的试错法。
凭据填充攻击
Published: Sat Feb 01 2025
一种自动化攻击,将从某一网站泄露的用户名/密码对,在其他网站上进行大规模尝试。
会话劫持 (Session Hijacking)
Published: Sat Feb 01 2025
通过窃取或预测有效的会话控制机制(通常是 Cookie),从而获得对用户账号的未授权访问。
不安全的直接对象引用 (IDOR)
Published: Sat Feb 01 2025
应用在未验证授权的情况下,直接向用户暴露了内部对象(如数据库 ID 或文件)的引用。
权限访问控制缺失 (Broken Access Control)
Published: Sat Feb 01 2025
应用未能正确强制执行权限策略,导致用户能够执行其权限范围之外的操作。
文件上传漏洞
Published: Sat Feb 01 2025
通过上传恶意文件来执行代码 (Web Shell) 或绕过安全控制的攻击行为。
目录遍历 (Directory Traversal)
Published: Sat Feb 01 2025
一种 HTTP 攻击,允许攻击者访问受限目录,并读取(有时甚至是写入) Web 服务器根目录之外的文件。