在互聯(lián)網(wǎng)上，隨時(shí)都會(huì)發(fā)生攻擊。也許當(dāng)你閱讀這篇文章時(shí)，你的電腦正在被別人掃描，密碼正在被其他人破譯。所有這些看似無(wú)聲的戰(zhàn)爭(zhēng)都難以預(yù)防。作為企業(yè)最終用戶(hù)，有必要了解網(wǎng)絡(luò)攻擊者常用的手段，這對(duì)于本地網(wǎng)絡(luò)和終端的保護(hù)是必要的。下面解釋黑客在網(wǎng)絡(luò)中常用的攻擊方法。

網(wǎng)絡(luò)惡意掃描

在使用黑客為各種WEB應(yīng)用程序和各種典型應(yīng)用程序漏洞檢測(cè)（如SQL注入，Cookie注入，XPath注入，LDAP注入，跨站點(diǎn)腳本，代碼注入，表單繞過(guò)，弱密碼，敏感文件和目錄，管理后端，敏感數(shù)據(jù)等）收集信息并進(jìn)行后續(xù)攻擊。

跨站腳本攻擊

也稱(chēng)為XSS，它指的是使用網(wǎng)站漏洞來(lái)惡意竊取用戶(hù)的信息。為了收集用戶(hù)信息，攻擊者經(jīng)常會(huì)將JavaScript，VBScript，ActiveX或Flash插入易受攻擊的程序中來(lái)欺騙用戶(hù)。一旦成功，他們可以竊取用戶(hù)賬戶(hù)，修改用戶(hù)設(shè)置，竊取/污染cookies，制造虛假?gòu)V告等。每天都有大量惡意代碼用于XSS攻擊。

遠(yuǎn)程文件控制

一些粗心的開(kāi)發(fā)者代碼被部署到服務(wù)器上，并且可以調(diào)用它的參數(shù)設(shè)置來(lái)讀取服務(wù)器系統(tǒng)文件。遠(yuǎn)程攻擊者可以通過(guò)惡意參數(shù)調(diào)用來(lái)調(diào)用這些系統(tǒng)文件，從而對(duì)WEB服務(wù)和用戶(hù)隱私產(chǎn)生不同程度的威脅。

遠(yuǎn)程后門(mén)執(zhí)行

后門(mén)通常指的是繞過(guò)安全控制并訪問(wèn)程序或系統(tǒng)的程序化方法。在軟件開(kāi)發(fā)階段，程序員經(jīng)常在軟件中創(chuàng)建后門(mén)程序，以便修改程序中的錯(cuò)誤。但是，如果這些后門(mén)程序?yàn)樗怂?，或者如果在軟件發(fā)布之前沒(méi)有移除后門(mén)程序，那么它就成為安全風(fēng)險(xiǎn)，并且很容易被黑客利用作為漏洞。

惡意文件上傳

一些論壇網(wǎng)站經(jīng)常允許用戶(hù)上傳文件。此漏洞的原因是代碼作者不會(huì)測(cè)試或過(guò)濾訪問(wèn)者提交的數(shù)據(jù)。他們可以直接提交修改的數(shù)據(jù)來(lái)繞過(guò)擴(kuò)展。提交后的惡意程序可以實(shí)現(xiàn)為遠(yuǎn)程后門(mén)。

文件引用異常

Web開(kāi)發(fā)程序員在代碼中引用外部文件。異常文件引用允許攻擊者利用目標(biāo)應(yīng)用程序中實(shí)現(xiàn)的“動(dòng)態(tài)文件包含”機(jī)制。這可能會(huì)導(dǎo)致輸出文件的內(nèi)容導(dǎo)致Web服務(wù)器上的代碼執(zhí)行?？蛻?hù)端JavaScript等可能導(dǎo)致其他攻擊，例如跨站腳本代碼執(zhí)行。

文件分辨率異常

某些Web服務(wù)器漏洞允許修改后的腳本文件通過(guò)常用的圖像文件擴(kuò)展名進(jìn)行解析，但仍然執(zhí)行腳本文件的內(nèi)容，該文件通常包含惡意文件上傳攻擊，以繞過(guò)提交后門(mén)文件的擴(kuò)展限制。

系統(tǒng)漏洞

指系統(tǒng)的敏感性或缺陷，通常具有高度的嚴(yán)重性。攻擊者可以利用此漏洞直接繞過(guò)系統(tǒng)的相關(guān)安全保護(hù)機(jī)制。

無(wú)效的HTTP版本

HTTP協(xié)議有多個(gè)版本，標(biāo)識(shí)為次要版本，如版本0.9,1.0或1.1。無(wú)效的HTTP版本是指攻擊者使用不受支持的http版本號(hào)來(lái)構(gòu)造攻擊Web服務(wù)器的數(shù)據(jù)包請(qǐng)求。

拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是攻擊者試圖阻止目標(biāo)機(jī)器提供服務(wù)，這是黑客使用的常見(jiàn)攻擊手段之一。實(shí)際上，對(duì)網(wǎng)絡(luò)帶寬的可消耗攻擊只是拒絕服務(wù)攻擊的一小部分。只要它們給目標(biāo)造成麻煩，導(dǎo)致某些服務(wù)被暫停甚至主機(jī)崩潰，它們都屬于拒絕服務(wù)攻擊。

USA-IDC提供美國(guó)高防服務(wù)器租用，百G金盾級(jí)防御，能夠抵抗大規(guī)模的DDOS攻擊，適用于金融游戲等高安全要求的項(xiàng)目使用，歡迎廣大用戶(hù)聯(lián)系24小時(shí)在線(xiàn)客服租用。