XSS攻击
- XSS攻击(跨站脚本攻击)是指攻击者通过篡改网页,嵌入脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式
- XSS攻击的危害:
(1)利用虚假输入表单骗取用户个人信息
(2)利用脚本盗窃用户的Cookie值,在被害者不知情的情况下帮助攻击者发送恶意请求 - 防范XSS攻击:
(1)前端和服务端对URL中的参数和用户提交的输入进行充分的过滤
(2)前段和服务端同时需要对HTML进行转义
SQL注入攻击
- SQL攻击是指攻击者在HTTP请求中注入恶意的SQL代码,服务器在使用参数构建SQL语句时,恶意的SQL语句被一起构造,并在数据库中执行
- SQL注入攻击的危害:
(1)非法查看或篡改数据库内的数据
(2)规避认证 - 防范SQL攻击:
(1)前端和服务器端使用有效性检验
(2)不使用拼接SQL字符串
(3)使用预编译的PrepareStatement
(4)过滤SQL需要的参数中的特殊字符,如单引号、双引号
CSRF攻击
- CSRF攻击即跨站点请求伪造,指攻击者通过跨站请求,以合法的身份进行非法操作,可以这么理解CSRF攻击:攻击者盗用你的身份,以你的名义向第三方发送恶意请求
Dos攻击
- DoS攻击是一种让运行中的服务器呈停止状态的攻击,主要有以下攻击方式:
(1)集中利用访问请求造成资源过载,资源用尽的同时,实际上服务器也就成停止状态
(2)通过攻击安全漏洞使服务停止 - 多台计算机发起的DoS攻击称为DDos攻击
- SYN攻击是一种典型的Dos攻击:
(1)服务端的资源是在第二次握手时分配的,而客户端的资源是在完成三次握手时分配的,所以服务器容易受到SYN洪泛攻击
(2)SYN攻击就是客户端在短时间内伪造大量不存在的IP地址(或者利用感染病毒的计算机)向服务器不断的发送TCP连接请求,服务器回复SYN+ACK包,并等待客户端确认,由于源地址不存在,因此服务器需要不断地重发直至超时,这些伪造的SYN包将长期暂用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起服务器瘫痪 - 防范SYN攻击的方法:
(1)缩短超时时间
(2)增大最大半连接数
(3)过滤网关防护
(4)SYNcookie技术