一、存储型XSS攻击，攻击者通过网站留言板提交一段恶意js代码，数据库将恶意js代码存储起来，只要有用户访问留言板，接口返回带有恶意js代码的数据，恶意js代码默认自动执行，通过img标签src的特性,发送给攻击者一封携带cookie的邮件

image.png

image.png

二、CSRF攻击，又叫跨站请求伪造，攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。攻击者可以在不获取用户cookie的情况下，进行非法操作。
1.受害者登录a.com，并保留了登录凭证（Cookie）。
2.攻击者引诱受害者访问了b.com。
3.在b.com网站里，请求了a.com网站的接口
4.a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。

image.png

image.png

三、文件上传，通过上传恶意脚本文件，并执行该脚本文件，达到控制服务器的目的。攻击者必须知道文件上传后的url访问路径，脚本才能执行。

四、ddos攻击，一般是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，以致目标服务器瘫痪而无法访问。DDoS 是网络世界里最常见又最令人头疼的问题。其最可怕之处就在于虽然攻击成本很低，但是防御它所需要的成本却很高，造成的损失往往也非常可怕。

image.png