web应用常见的攻击手段

      Web应用是由动态脚本、编译过的代码等组合而成。

      它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。

      如今网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。

      根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。

   

 那么web应用常见的攻击手段有哪些？

      XSS攻击

      跨站脚本攻击(Cross-Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

     XSS是一种常见的web安全漏洞，它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。

   

     SQL注入

     攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。

   

       DDOS

      分布式拒绝服务攻击（Distributed Denial of Service），简单说就是发送大量请求是使服务器瘫痪。DDos攻击是在DOS攻击基础上的，可以通俗理解，dos是单挑，而ddos是群殴，因为现代技术的发展，dos攻击的杀伤力降低，所以出现了DDOS，攻击者借助公共网络，将大数量的计算机设备联合起来，向一个或多个目标进行攻击。

    在技术角度上，DDoS攻击可以针对网络通讯协议的各层，手段大致有：TCP类的SYN Flood、ACK Flood，UDP类的Fraggle、Trinoo，DNS Query Flood，ICMP Flood，Slowloris类等等。一般会根据攻击目标的情况，针对性的把技术手法混合，以达到最低的成本最难防御的目的，并且可以进行合理的节奏控制，以及隐藏保护攻击资源。

   

 CSRF

      CSRF（Cross-site request forgery）中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。

       CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

如何有效防治？

      通常情况下开发人员不可避免的会犯错误，写出有漏洞的代码，即使是资历深厚的工程师，在细节上也很难做的完美。代码的动态、静态测试软件的重要性就凸显出来了，它可以从根本上找出绝大部分代码本身存在的缺陷与漏洞，进而有效的预防网络攻击。

      国产的静态代码分析工具还是挺多的，像中科天齐的悟空，泛联新安的CodeSense，思客云的找八哥等等。

      其中CodeSense 是新一代的软件源代码缺陷分析平台，经过了清华大学与国防科技大学的专家团队对代码静态分析技术的深度理论研究，结合软件工程实践研发而成。使用了控制流分析、数据流分析、上下文敏感分析、对象敏感分析、跨程序分析和跨文件分析等多种国内外先进技术，能够精准的检测软件安全漏洞与质量缺陷，支持多种编程语言，具有强大的检测规则扩展能力，支持多种开发环境与国产化平台。