Xss（跨站腳本攻擊）

概念：將可執(zhí)行的前端腳本代碼植入到網(wǎng)頁中，通常是利用網(wǎng)頁開發(fā)時留下的漏洞，注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。

其分為兩種類型：一種是反射型，一種是持久型。

反射型是將腳本代碼放在URL中，當用戶點擊URL，該請求就會通過服務器解析返回給瀏覽器，在返回的響應內容中出現(xiàn)攻擊者的XSS代碼，瀏覽器執(zhí)行時就會中招了。

存儲型是將惡意代碼被存儲在web server中。黑客通過XSS的漏洞，將內容經正常功能提交進入數(shù)據(jù)庫持久保存，當進行數(shù)據(jù)庫查詢的時候，再將攻擊腳本渲染進網(wǎng)頁，返回給瀏覽器執(zhí)行。

XSS防御：

對輸入和URL參數(shù)進行過濾，也就是說對提交的內容進行過濾，對url中的參數(shù)進行過濾，過濾掉會導致腳本執(zhí)行的相關內容

對輸出進行編碼，在輸出數(shù)據(jù)之前對潛在的威脅的字符進行編碼，使腳本無法在瀏覽器中執(zhí)行。

使用HTTPOnly，一般XSS攻擊通過利用js腳本讀取用戶的cookie，設置了HTTPOnly后js腳本就無法獲取到cookie，應用程序一般也不會在js中操作這些敏感的cookie。

Sql注入

概念：讓web服務器執(zhí)行攻擊者期望的sql語句，以便得到數(shù)據(jù)庫中的數(shù)據(jù)，或對數(shù)據(jù)庫進行讀取，修改，刪除，插入。sql注入常規(guī)套路在于將sql語句放在表單中提交給后端服務器 ，如果后端服務器沒有做任何安全性校驗，直接將變量取出進行數(shù)據(jù)庫查詢，則極易中招。

sql注入防御：

限制數(shù)據(jù)類型，在傳入?yún)?shù)的地方限制參數(shù)的類型，比如整型，只有get到的id為數(shù)字或者數(shù)字字符時才能執(zhí)行下一步。

正則表達式匹配傳入?yún)?shù)，對傳入的值進行匹配，如果不符合就過濾。正則表達式匹配很消耗服務器的性能，因此攻擊時可以構造大量的正常語句騙過服務器，當后臺對數(shù)據(jù)的處理達到最大限制的時候就會放棄匹配后面的非法語句。

函數(shù)過濾轉義，防止”和’進行轉義，這里應該是防止拼接

預編譯語句，使用預編譯語句綁定變量。使用預編譯相當于將數(shù)據(jù)用代碼分離的方式，把傳入的參數(shù)綁定為一個變量，用？表示，攻擊者無法改變sql的結構。將傳入的參數(shù)當作純字符串的形式作為username執(zhí)行，避免sql語句中的拼接閉合查詢語句的過程。可以理解為字符串與sql語句的關系區(qū)分開，username此時作為字符串不會被當做之前的sql語句被帶入數(shù)據(jù)庫執(zhí)行，從而避免了類似sql語句拼接，閉合等非法操作。

CSRF（跨站請求偽造攻擊）

概念：利用用戶已經登陸的身份，在用戶毫不知情的情況下，以用戶的名義完成非法操作。攻擊者誘導受害者進入第三方網(wǎng)站，在第三方網(wǎng)站中，向被攻擊網(wǎng)站發(fā)送跨站請求，利用受害者在被攻擊網(wǎng)站已經獲取的注冊憑證（比如cookie），繞過后臺的用戶驗證，達到冒充用戶對被攻擊的網(wǎng)站執(zhí)行某項操作的目的。

CSRF防御：

使用驗證碼，在關鍵的操作頁面加上驗證碼，后臺收到請求后通過判斷驗證碼可以防御CSRF，但這種方法對用戶不太友好

在請求地址中加入token驗證。連接請求中用戶驗證信息都是存在cookie中，因此黑客可以通過cookie來通過安全驗證（cookie也可以通過Xss攻擊獲得）。在http請求中以參數(shù)的形式加入一個隨機產生的token，在服務器端建立一個攔截器來驗證這個token，如果驗證不通過，則拒絕該請求

驗證http referer字段。http頭中的referer字段記錄了該http請求的來源地址。在通常情況下，訪問一個安全受限頁面的請求來自于同一個網(wǎng)站，而如果黑客要實施csrf攻擊，一般只能在自己的網(wǎng)站構造請求，因此可以通過驗證referer值來防御csrf攻擊。

DDos

概念：攻擊者使用多臺計算機執(zhí)行dos攻擊。dos攻擊是攻擊者不斷向服務器提出請求，占用服務器多資源，導致服務器無法處理正常的請求。

DDos防御：

CDN，通過多個CDN連接點相互承受攻擊，不容易由于一個連接點被攻擊而導致癱瘓****（隱藏服務器IP，讓CDN為服務器承擔攻擊）。采用CDN要隱藏源服務器的ip地址，要不然攻擊可以越過CDN直接攻擊源服務器

配置web防火墻

高防IP，將攻擊流量引流到高防IP，從而保護真正的ip不被暴露，確保源站的穩(wěn)定可靠。

采用高防服務器，獨立單個硬防御應對ddos攻擊和cc攻擊100g以上的服務器

審核編輯：黃飛