常见的Web攻击分为两类:

一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；

二是利用网页自身的安全漏洞进行攻击，如SQL注人，跨站脚本攻击等。

常见的针对Web应用的攻击有:

1.堆栈中的恶意指令。

缓冲区溢出一攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行谥出Cookie假冒一精心修改Cookie数据进行用户假冒。认证逃避一攻击者利用 不安全的证书和身份管理。

2.强制访问一访问未授权的网页。

非法输人一在动态网页的输人中使用各种非法数据，获取服务器锹感数据。

3.隐藏变量幕改

对网页中的隐藏变量进行修改，欺骗服务器程序拒绝服务攻击一构造大量的非法请求，使Web服务器不能响应正常用户的访问。

4.跨站脚本攻击

由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引人到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交能够完成攻击的脚本，如JavaScript. VBScript、 ActiveX、HTML或Flash等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获账户、更改用户设置、窃取和篡改Cookie到虚假广告在内的种种攻击行为。

   随着攻击网站制作应用层发展，传统网络安全设备不能有效解决目前的安全威胁，网络中的应用部署面临的安全问题必须通过一一种全新设计的安全防火墙-一应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。

西安网站建设杰商网发布