对网站进行应用攻击的手段主要有哪些？

1、被毁坏的证书和 Session 管理——Session token 没被较好的维护 在用户面世系统后，黑客能偷盗 session。

2、DNS反击——黑客利用DNS漏洞展开蒙骗DNS服务器，从而达至并使DNS解析不正常，IP地址被转为引致网站服务器无法正常关上。

DNS反击主要就是域名挟持，就是所指在挟持的网络范围内攻击域名解析的命令，分析命令的域名，把审查范围以外的命令离境，否则回到骗人的IP地址或者什么都不搞并使命令丧失积极响应，其效果就是对特定的网络无法出访或出访的就是骗人网址。

3、缓冲区外溢——攻击者利用远远超过缓冲区大小的命令和结构的二进制代码使服务器继续执行外溢堆栈中的蓄意指令。

缓冲区外溢就是一种非常广泛、非常危险的漏洞，在各种操作系统、应用软件中广为存有。利用缓冲区外溢反击，可以引致程序运行失利、系统宕机、重新启动等后果。更为严重的就是，可以利用它继续执行非许可指令，甚至可以获得系统特权，进而展开各种非法操作。

4、Cookie仿冒——精心修正cookie数据展开用户仿冒。

Cookies蒙骗就是通过窃取、修正、假造Cookies的内容去蒙骗Web系统,并获得适当权限或者展开适当权限操作方式的一种攻击方式。正像我们所晓得的，在网络词汇中，cookie就是一个特定的信息，虽然只是服务器藏于用户计算机上的一个文本文件，但由于其内容的不能奇怪性(与服务器存有一定的班莱班县性，且常会存储用户名，甚至口令，或是其它一些脆弱信息，比如在江湖或是一些社区中，常会用cookie去留存用户集分，等级等等)。因而沦为一些高手高度关注的对象，借此去获得特定权限，甚至攻下整个网站。

5、SQL转化成——结构SQL代码使服务器继续执行，以获取敏感数据。

通过把SQL命令填入至Web表单递交或输出域名或页面命令的查阅字符串，最终达至蒙骗服务器继续执行蓄意的SQL命令。具体来说，它就是利用现有应用程序，将（蓄意的）SQL命令转化成至后台数据库引擎继续执行的能力，它可以通过在Web表单中输出（蓄意）SQL语句获得一个存有安全漏洞的网站上的数据库，而不是按照设计者意图回去继续执行SQL语句。

6、URL 出访管制失灵——黑客可以出访非许可的资源相连接私自出访一些进占网页、历史网页。

7、证书躲避——攻击者利用不安全的证书和身份管理。

8、非法输出——在动态网页的输出中采用各种非法数据，以获取服务器敏感数据。

9、拒绝服务反击——结构大量的非法命令，并使Web服务器无法积极响应正常用户的出访。

拒绝服务反击即为就是攻击者想要办法使目标机器暂停提供更多服务，就是黑客常用的反击手段之一。其实对网络带宽展开的消耗性反击只是拒绝服务反击的一小部分，只要能对目标导致麻烦，并使某些服务被暂停甚至主机死机，都属拒绝服务反击。

10、跨站脚本反击——递交非法脚本，其他用户下载时窃取用户帐号等信息。

用户在下载网站、采用即时通讯软件、甚至在写作电子邮件时，通常可以页面其中的链接。攻击者通过在链接中填入恶意代码，就能窃取用户信息。攻击者通常可以用十六进制（或其他编码方式）将链接编码，以免用户猜测它的合法性。网站在发送至涵盖恶意代码的命令之后可以产成一个涵盖恶意代码的页面，而这个页面看上去就像那个网站应分解成的合法页面一样。许多盛行的留言本和论坛程序容许用户刊登涵盖HTML和javascript的帖子。假设用户甲刊登了一篇涵盖蓄意脚本的帖子，那么用户乙在下载这篇帖子时，蓄意脚本就可以继续执行，窃取用户乙的session信息。

11、强制性出访——出访未许可的网页。

12、暗藏变量盗用——对网页中的暗藏变量展开修正，蒙骗服务器程序。