web應用常見7大安全漏洞，淺析產生的原因！

今天整理了關於web前端的乾貨知識，web應用常見的有哪些安全漏洞呢，這些漏洞產生的原因又是什麼呢？這些問題你想過嗎？今天我們來聊聊這些問題，詳細內容，請參考全文！

1.SQL 注入

SQL 注入就是透過給 web 應用介面傳入一些特殊字元，達到欺騙伺服器執行惡意的 SQL 命令。

SQL 注入漏洞屬於後端的範疇，但前端也可做體驗上的最佳化。

原因：當使用外部不可信任的資料作為引數進行資料庫的增、刪、改、查時，如果未對外部資料進行過濾，就會產生 SQL 注入漏洞。

2.XSS 攻擊

XSS 攻擊全稱跨站指令碼攻擊(Cross-Site Scripting)，簡單的說就是攻擊者透過在目標網站上注入惡意指令碼並執行，獲取使用者的敏感資訊如 Cookie、SessionID 等，影響網站與使用者資料安全。

XSS 攻擊更偏向前端的範疇，但後端在儲存資料的時候也需要對資料進行安全過濾。

原因：當攻擊者透過某種方式向瀏覽器頁面注入了惡意程式碼，並且瀏覽器執行了這些程式碼。

3.CSRF 攻擊

CSRF 攻擊全稱跨站請求偽造(Cross-site Request Forgery)，簡單的說就是攻擊者盜用了你的身份，以你的名義傳送惡意請求。

解決方案：防止 CSRF 攻擊需要在伺服器端入手，基本的思路是能正確識別是否是使用者發起的請求。

4.DDoS 攻擊

DoS 攻擊全稱拒絕服務(Denial of Service)，簡單的說就是讓一個公開網站無法訪問，而 DDoS 攻擊(分散式拒絕服務 Distributed Denial of Service)是 DoS 的升級版。這個就完全屬於後端的範疇了。

原因：攻擊者不斷地提出服務請求，讓合法使用者的請求無法及時處理，這就是 DoS 攻擊。

攻擊者使用多臺計算機或者計算機叢集進行 DoS 攻擊，就是 DDoS 攻擊。

5.XXE 漏洞

XXE 漏洞全稱 XML 外部實體漏洞(XML External Entity)，當應用程式解析 XML 輸入時，如果沒有禁止外部實體的載入，導致可載入惡意外部檔案和程式碼，就會造成任意檔案讀取、命令執行、內網埠掃描、攻擊內網網站等攻擊。

這個只在能夠接收 XML 格式引數的介面才會出現。

6.JSON 劫持

JSON 劫持(JSON Hijacking)是用於獲取敏感資料的一種攻擊方式，屬於 CSRF 攻擊的範疇。

原因：一些 Web 應用會把一些敏感資料以 json 的形式返回到前端，如果僅僅透過 Cookie 來判斷請求是否合法，那麼就可以利用類似 CSRF 的手段，向目標伺服器傳送請求，以獲得敏感資料。

7.暴力破解

這個一般針對密碼而言，弱密碼(Weak Password)很容易被別人(對你很瞭解的人等)猜到或被破解工具暴力破解。