3.3.5 常见的 Web 常见攻击方式有哪些？

1. SQL 注入攻击

SQL 注入是一种在 Web 应用程序中广泛存在的安全威胁。攻击者可以利用 SQL 注入从 Web 应用程序中获取数据，或破坏数据库的完整性与可用性。常见的 SQL 注入攻击方式有：盲注、联合查询注入、时间延迟注入、堆叠注入等等。发生 SQL 注入攻击的原因有很多，比如：没有对输入的数据进行充分的校验、数据过滤不严格、SQL 语句拼装不正确等等。为了防止 SQL 注入攻击，我们可以采取参数化查询、过滤输入、限制访问等方法。

2. 跨站点脚本攻击

跨站点脚本攻击（XSS）是一种利用 Web 应用程序中的漏洞向网站的其他用户注入恶意脚本的攻击。攻击者可以利用 XSS 攻击窃取用户的敏感信息、劫持会话、篡改网页内容等。常见的 XSS 攻击方式有：反射型 XSS、存储型 XSS、DOM XSS 等等。防范 XSS 攻击的方法有很多，比如：过滤输入、转义输出、限制操作等等。

3. CSRF 攻击

CSRF（Cross-Site Request Forgery）攻击是指攻击者利用用户已登录的身份，在用户毫不知情的情况下，构造一个恶意请求来执行一些非法的操作。CSRF 攻击可以窃取用户的敏感信息、操作用户账号、篡改数据等。为了防范 CSRF 攻击，我们可以采取 Token 验证、Referer 验证、验证码验证等方法。

4. 文件上传漏洞

文件上传漏洞是指攻击者通过 Web 应用程序的漏洞，上传含有恶意代码的文件，从而达到攻击目的。文件上传漏洞可以导致文件删除、恶意文件执行、程序命令被执行等。为了防止文件上传漏洞，我们可以校验文件类型、设置文件大小限制、设置文件存储路径等。