1.1.2 Web应用攻击形式

如今Web应用程序的攻击行为一般步骤为：确定该Web应用程序潜在的漏洞，然后采取有针对性的攻击手段，最后获取资源或权限。目前常见的攻击手段主要有以下几种。

1）口令入侵

一般会通过网络监听或者暴力破解法获取用户口令。

2）Sniff监听

通过监听器截获网络上传输的信息，如口令及敏感信息等。

3）恶意电子邮件攻击

利用应用程序中的拒绝服务的漏洞把其中服务器的资源耗尽，也可以发送含有木马链接的邮件，诱导用户点击，从而可以使其机器感染木马程序。

4）诱导法

恶意攻击者会将一些看起来比较正常的程序上传到供用户下载的站点，然后诱导下载，将恶意代码植入用户的机器，从而可以监控用户的机器。

5）利用系统的漏洞

操作系统或者应用程序本身在程序开发过程中存在人为的漏洞，这成了恶意攻击者攻击的“入口”。

6）木马攻击

在受害者系统中植入一个隐藏程序，它会在用户不知不觉的情形下运行，从而在系统联网时对其进行监控。