web 中常用的攻击方式

1. sql注入，通过
2. 跨站脚本 （xss），跨站脚本 (XSS) 是一种安全漏洞，攻击者可利用此漏洞将客户端脚本（通常是 JavaScript）置于网页中。 当其他用户加载受影响的页面时，攻击者的脚本便会运行，从而使攻击者可盗取 cookie 和会话令牌、通过 DOM 操作更改网页的内容或是将浏览器重定向到其他页面。 当应用程序接收用户输入并将它输出到页面而不进行验证、编码或转义时，通常会出现 XSS 漏洞。
3. 开放重定向  ，重定向到通过请求（例如 querystring 或表单数据）指定的 URL 的 Web 应用可能会被篡改，从而将用户重定向到外部恶意 URL。 这种篡改称为开放式重定向攻击
4. 跨站请求伪造（xsrf/csrf） ,跨网站请求伪造（也称为 XSRF 或 CSRF）是一种针对 Web 托管应用的攻击，恶意 Web 应用凭此可以影响客户端浏览器与信任该浏览器的 Web 应用之间的交互。 这些攻击出现的原因可能是 Web 浏览器会随着对网站的每个请求自动发送某些类型的身份验证令牌。 这种形式的攻击也称为一键式攻击或会话控制，因为该攻击利用了用户以前经过身份验证的会话
5. ddos攻击（服务拒绝）
6. 文件漏洞，利用上传文件时候的漏洞。使用脚本文件，设置了木马的图片，设置了脚本的图片，设置的脚本的html文件上传后并执行文件获取系统权限或信息
   1. 本地文件包含Web应用对相关目录未做访问权限控制，并且未对用户提交的数据做过滤或者转义，导致服务器敏感文件泄露。黑客利用本地文件包含漏洞，可以获取服务器敏感文件、植入webshell入侵服务器。
   2. 远程文件包含Web应用未对用户提交的文件名做过滤或者转义，导致引入远程的恶意文件。黑客利用远程文件包含漏洞，可以加载远程的恶意文件，导致恶意代码执行、获取服务器的权限
7. 缓冲区溢出， http协议未对请求头部做字节大小限制，导致可以提交大量数据因此可能导致恶意代码被执行。
8. web错误服务泄露，Web应用配置错误，导致服务器报错从而泄露敏感信息，黑客可能利用泄露的敏感信息进一步攻击网站。
9. XPATH注入，Web应用在用xpath解析xml时未对用户提交的数据做过滤，导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击，可以获取xml文档的重要信息。
10. XML注入，Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用，导致服务器解析外部引入的xml实体。
11. LDAP注入防护，Web应用使用ldap协议访问目录，并且未对用户提交的数据做过滤或转义，导致服务端执行了恶意ldap语句。
12. 暴力破解
13. 撞库
14.