SQL盲注攻击实战，除XSS攻击外，还有哪些攻击

黑客的攻击方式或手段是数不胜数的SQL盲注攻击实战，你说的XSS攻击是黑客在WEB攻击中的一种。如果从WEB攻击来看，2017 OWASP TOP 10已经发布了，分另列出10大攻击WEB的方法。

以上的具体资料可以去OWASP网站查阅具体的PDF。

那么问题来了，除了WEB攻击外，还有什么？如果不再细分的话，那相对的自然就剩下了系统攻击了。

我把剩下的系统攻击又粗糙分了一下，像溢出、水坑攻击（挂马）、APT（Advanced Persistent Threat）攻击、社会工程学攻击等，并且随着新系统、新技术的不断涌现，针对APP和物联网的攻击也出现了。这里边的每项攻击又可以细化，举例说明，社会工程学可以包括撞库攻击、CSRF攻击等。

通过我上边的论述，你可以明白，这些攻击是相互交叉的，又相互印证，单独给他们归类是很难的一件事。除非你能像OWASP 一样注重在一个小领域再细划分。

现在的黑客渗透也很细化了，有的人偏重于SQL INJETCION、有的人偏重于XSS，一个人能做精一项都是非常不容易的。黑客之路路漫漫其修远兮，吾将上下而求索。

SQL注入攻击有以下三个特点

1、变种极多

有经验的攻击者，也就是黑客会手工调整攻击的参数，致使攻击的数据是不可枚举的，这导致传统的特征匹配方法仅能识别到相当少的攻击。或者是最常规的攻击，难以做到防范。

2、攻击简单

攻击过程简单，目前互联网上流行的众多SQL注入攻击工具，攻击者借助这些工具可以很快的对目标网站进行攻击或者是破坏，危害大。

3、危害极大

由于web语言自身的缺陷，以及具有安全编程的开发人员较少，大多数web应用系统均具有被SQL注入攻击的可能，而攻击者一旦攻击成功，就可以对控制整个web应用系统对数据做任何的修改或者是窃取，破坏力达到了极致。