常见的Web攻击，学习笔记

一、跨站脚本攻击(XSS)

跨站脚本攻击（XSS，Cross-site ing）是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时，特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息，以及造成其它类型的攻击。

1、对于敏感的cookie信息，使用HttpOnly，使document对象中找不到cookie。
2、对于用户输入的信息要进行转义。

二、跨站请求伪造攻击（CSRF)

跨站请求伪造（CSRF，Cross-site request forgery）是另一种常见的攻击。攻击者通过各种方法伪造一个请求，模仿用户提交表单的行为，从而达到修改用户的数据，或者执行特定任务的目的。为了假冒用户的身份，CSRF攻击常常和XSS攻击配合起来做。

1、采用POST请求,增加攻击的难度.用户点击一个链接就可以发起GET类型的请求。而POST请求相对比较难，攻击者往往需要借助java才能实现
2、对请求进行认证，确保该请求确实是用户本人填写表单并提交的，而不是第三者伪造的.具体可以在会话中增加token,确保看到信息和提交信息的是同一个人

三、Http Headers攻击

凡是用浏览器查看任何WEB网站，无论你的WEB网站采用何种技术和框架，都用到了HTTP协议.HTTP协议在Response header和content之间，有一个空行，即两组CRLF（0x0D 0A）字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到headers中，这种攻击就可以发生。

1、过滤所有的response headers，除去header中出现的非法字符，尤其是CRLF。
2、服务器一般会限制request headers的大小，Apache server默认限制request header为8K

四、身份认证和会话

黑客在浏览器中停用JS，防止客户端校验，从而进行某些操作。

1、隐藏敏感信息。
2、对敏感信息进行加密。
3、session 定期失效

五、重定向攻击

常用的攻击手段是“钓鱼”。钓鱼攻击者，通常会发送给受害者一个合法链接，当链接被点击时，用户被导向一个似是而非的非法网站，从而达到骗取用户信任、窃取用户资料的目的。

1、将合法的要重定向的url加到白名单中,非白名单上的域名重定向时拒之,第二种解决方案是重定向token,在合法的url上加上token,重定向时进行验证。

六、权限与访问控制

能通过URL参数的修改达到访问他人页面。

1、添加权限系统，访问的时候可以加上相应的校验。

七、不安全加密存储

1、加密存储敏感信息
2、不用md5加密

八、SQL注入

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

1、表单过滤，验证表单提交的合法性，对一些特殊字符进行转义处理
2、数据库权限最小化
3、查询语句使用数据库提供的参数化查询接口，不要直接拼接SQL

九、传输层未加密

1、使用安全的https版本
2、敏感信息使用https传输
3、非敏感信息使用http传输