[backcolor=rgba(192, 221, 252, 0.5)]
攻击类型 | 说明 | SQL注入 | SQL注入是一种通过将恶意SQL代码注入到查询语句中,来操纵数据库执行攻击者希望的操作的攻击方式。 | 跨站脚本(XSS) | 跨站脚本(XSS)攻击是一种通过在网页中嵌入恶意脚本,使其他用户在浏览网页时执行这些脚本的攻击方式。 | 代码执行 | 代码执行攻击是指利用注入的恶意代码,使服务器执行这些代码,从而实现攻击目的。 | CRLF注入 | 一种通过在HTTP头部插入回车符(CR, \r)和换行符(LF, \n),以操纵HTTP响应或进行HTTP响应分割攻击(HTTP Response Splitting)的攻击方式。 | 本地文件包含(LFI) | 是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数(include(),require()和include_once(),requir_once())利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 | 远程文件包含(RFI) | 远程文件包含(RFI)攻击通过包含远程服务器上的文件,使得攻击者能够在本地服务器上执行远程恶意代码。 | Webshell | Webshell是一种恶意脚本文件,通过上传或注入这些文件,攻击者可以远程控制服务器。 | OS命令注入 | 操作系统命令注入攻击通过在程序中嵌入恶意操作系统命令,使服务器执行这些命令,从而实现攻击目的。 | 扫描器行为 | 这通常指的是Web应用程序扫描器的行为和特点。这些工具自动化地扫描Web应用以发现潜在的安全漏洞。它们定位常见的漏洞如SQL注入、跨站脚本(XSS)等,通过生成并发送大量请求来分析应用的响应。 | 业务逻辑缺陷 | 业务逻辑缺陷是应用程序在实现其业务流程时存在的漏洞。这些漏洞通常不能通过传统的输入验证和输出编码来防御。它们可能允许攻击者通过操纵应用程序的正常工作流程来实现未授权访问或其他恶意行为。 | 任意文件读取 | 任意文件读取漏洞允许攻击者读取系统上任何文件,通常通过HTTP请求中的文件路径参数。利用这种漏洞,攻击者可以访问敏感信息,如配置文件、凭证和个人数据。 | 任意文件下载 | 任意文件下载漏洞类似于任意文件读取,但它专注于允许攻击者下载系统上的任意文件。这可能导致敏感信息泄露,甚至使攻击者获取系统的完整备份以进行脱机分析。 | 外部实体注入 | XXE漏洞利用XML解析器在解析外部实体时的特性,允许攻击者读取系统文件、执行服务器端请求(SSRF)或导致拒绝服务(DoS)。这种攻击通常通过包含恶意外部实体的XML输入实现。 | 跨站请求伪造 | CSRF攻击通过欺骗认证用户向Web应用程序发送未经授权的请求来执行恶意操作。通常,攻击者会诱骗用户点击恶意链接或访问恶意网页,从而在用户的身份下执行某些操作,如更改设置或提交表单。 | 表达式注入 | 表达式注入攻击是指通过嵌入恶意表达式,使服务器执行这些表达式,从而实现攻击目的。 | .net反序列化 | 反序列化是将数据从一种格式(例如JSON、XML或二进制)转换回对象的过程。在.NET应用中,不安全的反序列化可能导致任意代码执行。如果攻击者能够控制反序列化的数据,他们可能会注入恶意数据,从而执行任意代码。 | Java反序列化 | Java反序列化攻击通过反序列化恶意对象,使服务器在反序列化过程中执行恶意代码。 | PHP反序列化 | PHP反序列化攻击通过反序列化恶意对象,使服务器在反序列化过程中执行恶意代码。 | SSRF(服务器端请求伪造) | 服务器端请求伪造(SSRF)攻击通过伪造服务器端请求,使服务器访问内部或外部资源,从而实现攻击目的。 | 路径穿透 | 路径穿透攻击通过注入相对路径(如../),访问服务器上的不应公开的文件。 | 协议违背 | 协议违背是通过恶意操纵协议(如HTTP、HTTPS等)的方式,进行攻击或绕过安全机制。 | 任意文件上传 | 任意文件上传攻击通过上传恶意文件,使服务器执行这些文件,从而实现攻击目的。 |
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
