2025年信息安全工程师考点答疑：主动攻击与被动攻击的区别有哪些?

信管网考友：

老师，请问下主动攻击与被动攻击的区别是什么?

信管网答疑老师：

主动攻击与被动攻击的区别：被动攻击的特点是攻击者不直接攻击目标服务器，而是通过诱骗用户触发陷阱(如点击恶意链接)来间接执行攻击代码。

例如：

主动攻击：SQL注入、OS命令注入等直接针对服务器的攻击。

被动攻击：XSS和CSRF(跨站请求伪造)需依赖用户交互。

XSS的攻击流程：攻击者将恶意脚本嵌入网页或链接中，用户访问时浏览器执行脚本，窃取Cookie或伪造请求。这一过程无需攻击者直接接触服务器，符合被动攻击的定义。