攻擊的常見目標

• 數據竊取：如用戶資料、信用卡信息、企業機密等。
• 服務中斷：使目標服務無法正常運行，影響其商業或服務。
• 權限提升：獲得系統更高級的操作權限。
• 數據篡改：更改網站的內容或數據。

常見的 Web 攻擊種類

SQL 注入（SQL Injection）

• 目的：竊取或更改數據庫中的數據。
• 手法：在 Web 應用的輸入框中輸入惡意 SQL 語句，例如登入要輸入帳號密碼的地方。
• 範例

'OR 1=1 --

跨站腳本攻擊（XSS）

• 目的：竊取用戶 Cookie、權限或者其他敏感資訊。
• 手法：插入惡意的 JavaScript 代碼。
• 範例

<script>alert(1);</script> 

跨站請求偽造（CSRF）

• 目的：在用戶不知情的情況下，以其身份進行操作。
• 手法：誘導用戶訪問一個包含惡意請求的網頁。
• 範例

<script src="惡意連結">

服務器端請求偽造（SSRF）

• 目的：訪問或攻擊內網資源。
• 手法：利用服務器進行非法的內部請求。
• 範例
  

文件上傳漏洞

• 目的：上傳惡意文件以執行惡意代碼。
• 手法：利用文件上傳功能的安全缺陷。

命令注入（Command Injection）

• 目的：執行非法系統命令。
• 手法：通過輸入欄位輸入惡意命令。
• 注入類似 Linux 指令等等的。

防禦措施

• 輸入驗證：驗證所有用戶輸入。
• 輸出編碼：避免數據被錯誤解釋。
• 權限管理：確保最小權限原則（Principle of Least Privilege）。
• 安全配置：保持系統和軟體更新。

參考資料

https://ithelp.ithome.com.tw/articles/10251769
https://medium.com/程式猿吃香蕉/網站安全-伺服器請求偽造-ssrf-攻擊-項莊舞劍-意在沛公-7a5524926362