FireHost发布2013年第二季度排名前四的攻击方法

本周二，云托管公司FireHost公布了2013年第二季度排名前四的攻击方法，分别是跨站脚本攻击（XSS）、目录遍历、SQL注入、跨站请求伪造（CSRF）。

FireHost大约统计了超过24万次网络攻击，通过数据统计，跨站请求伪造和SQL注入相比上季度都有明显的增加，原因是由于大规模的自动化工具使用，攻击的门槛越来越低，越来越多的黑客使用这些自动化工具在网络进行扫描、测试、攻击等。如下图：

2013年数据统计： 1、FireHost阻断攻击数目：23926025次（包括低被FireHost的IP信誉管理系统IPRM阻断的IP） 2、排名前四的攻击本季度增加6%，阻断次数3643620 3、XSS是最常见的攻击类型 - 2013年第二季度阻断超过1.2W次 4、SQL注入占比约18%，CSRF占比26%，相对比上季度都有明显的增加。

跨站脚本攻击（XSS）： 恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

目录遍历： Web站点对Web内容缺乏恰当的访问控制，允许HTTP遍历，形成Web应用服务器安全漏洞，使得攻击者能够访问受限制的目录，并在Web服务器的根目录以外执行命令。

跨站请求伪造(CSRF): 通过伪装来自受信任用户的请求来利用受信任的网站。

SQL注入攻击： 通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令