Web攻擊分類有哪些？防火墻WAF可以抵御哪些攻擊？

　　黑客攻擊前多使用工具針對各種WEB應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進行檢測(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、管理后臺、敏感數(shù)據(jù)等),以便收集信息后進行后續(xù)的攻擊行為。
      跨站腳本攻擊

　　也稱為XSS,指利用網(wǎng)站漏洞從用戶那里惡意盜取信息.為了搜集用戶信息，攻擊者通常會在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶。一旦得手，他們可以盜取用戶帳戶，修改用戶設(shè)置，盜取/污染cookie，做虛假廣告等。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)。
 

　　遠程文件控制

　　一些粗心的開發(fā)者代碼部署到服務(wù)器上其參數(shù)設(shè)置可以調(diào)用讀取服務(wù)器系統(tǒng)文件，遠程攻擊者可以通過惡意參數(shù)調(diào)用對這些系統(tǒng)文件進行操作，從而導(dǎo)致對WEB服務(wù)和用戶隱私造成不同程度的威脅。

　　遠程后門執(zhí)行

　　后門程序一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計中的缺陷。但是，如果這些后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門程序，那么它就成了安全風險，容易被黑客當成漏洞進行攻擊。

　　惡意文件上傳

　　一些論壇類網(wǎng)站往往允許用戶上傳文件,導(dǎo)致該漏洞的原因在于代碼作者沒有對訪客提交的數(shù)據(jù)進行檢驗或者過濾不嚴，可以直接提交修改過的數(shù)據(jù)繞過擴展名的檢驗。提交后的惡意程序便可作為遠程后門執(zhí)行。

　　異常文件引用

　　web開發(fā)程序員會在代碼中引用外部文件, 異常文件引用允許攻擊者利用在目標應(yīng)用程序中實現(xiàn)的“動態(tài)文件包容”機制, 這可能會導(dǎo)致輸出文件的內(nèi)容造成Web服務(wù)器上的代碼執(zhí)行, 在客戶端JavaScript等可導(dǎo)致其他攻擊，如跨站點腳本代碼執(zhí)行。

　　異常文件解析

　　一些web服務(wù)器漏洞允許被修改的腳本文件按常用的圖片文件擴展名解析但仍然執(zhí)行了腳本文件的內(nèi)容,這通常結(jié)合惡意文件上傳攻擊繞過擴展名限制提交后門文件。

　　系統(tǒng)漏洞

　　指一個系統(tǒng)的易感性或缺陷，通常嚴重程度比較高.攻擊者利用漏洞可以直接繞過該系統(tǒng)的相關(guān)安全防護機制。

　　無效HTTP版本

　　HTTP 協(xié)議有多種版本 , 識別為主 (major).次 (minor)，例如如版本 0.9 ， 1.0 或 1.1 。無效HTTP版本指攻擊者利用不受支持的http版本號構(gòu)造數(shù)據(jù)包請求對web服務(wù)器攻擊。

　　拒絕服務(wù)攻擊

　　拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕嗽斐陕闊?，使某些服?wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。