web攻击

常见Web漏洞原理及修复方法

XSS攻击

指的是跨脚本攻击，指的是攻击者在网页中嵌套，恶意脚本程序，当用户打开网页时，程序开始在浏览器上启动，盗取用户的cooks，从而盗取密码等信息，下载执行木马程序。

CSRF攻击

CSRF攻击的全称是跨站请求伪造(cross site request forgery), 是一种对网站的恶意利用,你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等等,甚至盗取你的账号。

SQL注入攻击

所谓SQL注入,就是通过把SQL命令伪装成正常的HTTP请求参数,传递到服务端,欺骗服务器最终执行恶意的SQL命令,达到入侵目的。攻击者可以利用SQL注入漏洞,查询非授权信息, 修改数据库服务器的数据,改变表结构,甚至是获取服务器root权限。总而言之,SQL注入漏洞的危害极大,攻击者采用的SQL指令,决定攻击的威力。当前涉及到大批量数据泄露的攻击事件,大部分都是通过利用SQL注入来实施的

文件上传漏洞

文件上传的时候，没有对于文件的类型进行处理，从而导致攻击者上传了一些恶意的脚本程序，从而达到攻击的目的。

DDoS攻击

分布式拒绝服务攻击

渗透（Penetration Testing）

是什么（概念）

渗透测试（Penetration Testing），也称为Pen Testing，是测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。无论哪种方式，该过程都包括在测试之前收集关于目标的信息，识别可能的入口点，试图闯入（虚拟的或真实的）并报告结果。