今天接續昨天的繼續學習網站的常見攻擊手法
跨站偽造請求攻擊 (Cross-site request forgery,CSRF),又稱為 one-click attack
或者session riding
一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法,利用使用者對網頁瀏覽器的信任
伺服器端請求偽造 (Server Side Request Forgery,SSRF),攻擊者在沒有獲得系統權限的情況下,利用Server端主動發起請求,已獲得內網特定的資源
使用<iframe>
、<frame>
、<object>
,將目標網站載入到惡意網站,並且利用CSS技術隱藏或者偽裝成其他按鈕,誘騙使用者點擊
<frame>
、<iframe>
、object>
攻擊者利用檔案上傳功能的漏洞,未做對應的檢查機制,導至可以上傳惡意檔案(例如木馬、病毒、惡意指令碼或者Webshell等),進行系統攻擊
如果有任何錯誤的地方歡迎提出。
可以觀看我們團隊的鐵人發文喔~