web攻击模式

针对web攻击模式有2种

• 主动攻击
• 被动攻击

主动攻击:攻击者直接访问web应用,把攻击代码传入的攻击模式.代表的有SQL注入攻击和OS命令注入攻击

被动攻击:被动攻击（passive attack）是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中，攻击者不直接对目标 Web 应用访问发起攻击。
被动攻击通常的攻击模式如下所示。
步骤 1： 攻击者诱使用户触发已设置好的陷阱，而陷阱会启动发
送已嵌入攻击代码的 HTTP 请求。
步骤 2： 当用户不知不觉中招之后，用户的浏览器或邮件客户端
就会触发这个陷阱。
步骤 3： 中招后的用户浏览器会把含有攻击代码的 HTTP 请求发
送给作为攻击目标的 Web 应用，运行攻击代码。
步骤 4： 执行完攻击代码，存在安全漏洞的 Web 应用会成为攻
击者的跳板，可能导致用户所持的 Cookie 等个人信息被窃取，
登录状态中的用户权限遭恶意滥用等后果。
被动攻击模式中具有代表性的攻击是跨站脚本攻击和跨站点请求
伪造。