一次被黑客攻击的教训和总结

最近负责的一个网站老是被黑客攻击，实在是烦人，都想报网警了。不过又不想把事情闹大，于是心想先自己看看怎么把黑客攻击摆平吧。公司网站用的是阿里云服务器，在安全上，阿里云还是做的不错的，黑客上传的木马文件和攻击路径清清楚楚【关键是还没有收费】，很快就把黑客上传的木马病毒文件都给删除了。

但是黑客是如何攻击我们网站的呢？通过几天的不断排查，终于找到原因了：因为网站向普通用户开放了在线上传文件的功能，黑客利用这个方式，直接上传了木马和病毒文件，进一步在系统用户中添加了自己的账户以便随时可以远程访问。。。。呵呵，好家伙，看起来还是个老手呢，很快我就赶紧把系统用户组中的非法用户给删除了，这还是第一步；第二步，就是在上传接收文件的网站目录下找到那个文件的文件夹，对该文件夹的权限设置了不可执行权限。。。嗯，现在一个多月了，网站报警消失不见了，又回到了那个安静的时代，可以安心的升级运营网站了。

总结：做互联网的，安全非常重要，越有价值的网站越受黑客欢迎。在权限策略上，一般上传的文件均需要设置不可执行权限；在服务器选择上，安全性及相应处理措施优秀的厂家才值得信赖；技术上，对XSS(Cross-site scripting)攻击，SQL注入攻击，CSRF(Cross—Site Request Forgery)跨站请求伪造攻击也要特别注意，注意在代码层面处理这两个问题发生的可能性。

知识点普及：

XSS攻击：xss表示Cross Site Scripting(跨站脚本攻击)，通过插入恶意脚本，实现对用户游览器的控制
假如用户提交的数据含有js代码，不做任何处理就保存到了数据库，读出来的时候这段js代码就变成了可执行的代码，将会产生意向不到的效果。一般用户提交的数据永远被认为是不安全的，在保存之前要做对应的处理。这次我就遇到了这个问题，

我提交的内容,或者百度,读出来的时候，将直接弹出1111，或者百度是有效的超链接，这个显然是不行的。

提交的数据用下面的这个方法过滤一下，可以有效的防范xxs的攻击

sql注入攻击：QL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，使用sql的时候，应该多注意使用绑定参数！另外我们网站使用的EF技术，EntityFrameWork（以后简称EF）作为一款ORM非常的实用，能够大幅度的提高开发速度，EF生成的SQL语句，一般是用parameter进行传值，所以不会有sql注入的问题，但是如果直接使用Entity SQL 查询的话，还是有一定的风险性，还是需要进行SQL过滤的。具体的参见：https://www.cnblogs.com/Yuuuuu/p/7830989.html，或者干脆就不适用Enity SQL技术，只用linq to entitys就可以了。

CSRF跨站请求伪造攻击：你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。

大致过程如下：
CSRF攻击攻击原理及过程如下：
1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；
2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；
3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；
4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；
5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。