跨站请求伪造 (CSRF)
一种利用已登录用户的浏览器,在用户不知情的情况下向受信任应用发送非预期请求的攻击方式。
常见互联网安全
关于常见 Web 和网络攻击的实战系列,深入解析其工作原理及防御手段。
每一章节均包含深入的技术解析、Mermaid 攻击流程图以及详细的代码级防御指南。
跨站脚本攻击 (XSS)
一种代码注入攻击,恶意脚本在受害者的浏览器上下文中被执行。
SQL 注入 (SQLi)
一种注入攻击,允许攻击者干扰应用程序对其数据库进行的查询。
NoSQL 注入
一种针对 NoSQL 数据库的注入漏洞,通过恶意对象操纵查询结构或逻辑。
OS 命令注入
一种关键漏洞,攻击者通过存在缺陷的应用代码在服务器上执行任意操作系统 (OS) 命令。
分布式拒绝服务攻击 (DDoS)
一种恶意的企图,通过海量的互联网流量淹没目标服务器或其周边基础设施,从而破坏目标服务器的正常流量。
暴力破解攻击
一种通过尝试所有可能的组合来猜测登录凭据或加密密钥的试错法。
凭据填充攻击
一种自动化攻击,将从某一网站泄露的用户名/密码对,在其他网站上进行大规模尝试。
会话劫持 (Session Hijacking)
通过窃取或预测有效的会话控制机制(通常是 Cookie),从而获得对用户账号的未授权访问。
不安全的直接对象引用 (IDOR)
应用在未验证授权的情况下,直接向用户暴露了内部对象(如数据库 ID 或文件)的引用。
权限访问控制缺失 (Broken Access Control)
应用未能正确强制执行权限策略,导致用户能够执行其权限范围之外的操作。
文件上传漏洞
通过上传恶意文件来执行代码 (Web Shell) 或绕过安全控制的攻击行为。
目录遍历 (Directory Traversal)
一种 HTTP 攻击,允许攻击者访问受限目录,并读取(有时甚至是写入) Web 服务器根目录之外的文件。
服务端请求伪造 (SSRF)
一种攻击者利用服务器功能向非预期位置发起请求的攻击,通常针对内部服务。
点击劫持 (UI 覆盖攻击)
一种视觉欺骗攻击,通过在看似合法的内容上覆盖透明 iframe,诱骗用户点击隐藏元素。
钓鱼攻击
利用欺骗性通讯手段诱骗受害者泄露敏感信息或安装恶意软件的社会工程攻击。
中间人攻击 (MITM)
攻击者秘密拦截并可能篡改两个认为自己在直接通信的双方之间的通信内容。
开放重定向漏洞
当 Web 应用程序接受用户控制的输入并将用户重定向到外部 URL 时发生的漏洞,可被用于钓鱼和信任滥用。
XML 外部实体 (XXE) 注入
一种利用 XML 解析器处理外部实体引用的攻击,可导致文件泄露、SSRF 或拒绝服务。
不安全的反序列化
当应用程序在反序列化过程中使用不受信任的数据时产生的漏洞,通常导致远程代码执行。
JWT (JSON Web Token) 攻击
针对 JWT 实现中漏洞的攻击,包括算法混淆、弱密钥和不当验证。
子域名接管
攻击者通过声明 DNS 仍指向的已废弃云资源来获取子域名控制权的攻击。