本文为大家介绍常见的web安全中。最常见的几种攻击手段做简单的说明。

常见的网络工具

XSS攻击

XSS 攻击可以分为 3 类：存储型（持久型）、反射型（非持久型）、DOM 型。

存储型 XSS注入型脚本永久存储在目标服务器上。当浏览器请求数据时，脚本从服务器上传回并执行。

反射型 XSS当用户点击一个恶意链接，或者提交一个表单，或者进入一个恶意网站时，注入脚本进入被攻击者的网站。Web 服务器将注入脚本，比如一个错误信息，搜索结果等 返回到用户的浏览器上。由于浏览器认为这个响应来自"可信任"的服务器，所以会执行这段脚本。

基于 DOM 的 XSS通过修改原始的客户端代码，受害者浏览器的 DOM 环境改变，导致有效载荷的执行。也就是说，页面本身并没有变化，但由于 DOM 环境被恶意修改，有客户端代码被包含进了页面，并且意外执行。

SQL注入

需要与后端有交互，是一种将恶意代码插入到程序 SQL 语句中，从而误导数据库执行恶意逻辑的攻击技术。通过 SQL 注入，攻击者可以达到获取敏感信息，窃取访问权限等目的。

ARP欺骗

ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPMAC条目，造成网络中断或中间人攻击。

DDOS攻击

主要针对服务器，WEB网络层拒绝服务攻击。DDoS攻击就是利用大量的傀儡机向目标服务器或者网站发送大量合法的请求，如果被攻击的目标不能及时的处理，这些请求就会占用大量的网络资源，这样就能达到瘫痪网络的目的，包括常见的“SYN攻击、DNS攻击”。

CC攻击

针对网页，WEB应用层拒绝服务攻击。CC攻击是DDOS（分布式拒绝服务）的一种形式。攻击原理是通过代理服务器或者肉鸡向受害主机不停地发大量数据包，造成对方服务器资源耗尽，CC攻击本身是正常请求，网站动态页面的正常请求也会和数据库进行交互的，当这种"正常请求"达到一种程度的时候，服务器就会响应不过来，从而崩溃。