sql注入攻击和xss都不属于web攻击

1、常见web攻击方法不包含业务测试。因为常见的Web攻击方法主要有XSS攻击、CSRF攻击、SQL注入攻击、DDos攻击、文件漏洞攻击等。所以常见web攻击方法不包含业务测试。

2、SQL注入是比较常见的网络攻击方式之一，主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，实现无帐号登录，甚至篡改数据库。

3、SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。