如何防止漏洞攻击

随着网络越来越发达，攻击方式同样的也是变化多端，今天就带大家来讲一下漏洞攻击。什么是漏洞攻击呢？漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞攻击简单地说就是通过对方计算机系统的漏洞进机的攻击。

 

常见的几种漏洞攻击

第一种 SQL Injection

SQL Injection, 顾名思义就是把SQL语句通过用户输入注入到服务器端， 比如返回的永远的都是true值来达到登陆验证，或者是获取数据库表的信息。

第二种 XSS

XSS 跟SQL Injection有些相似， 不过它注入的不是SQL而是Java Script， 比如说让网页重定向到一个钓鱼（phishing）站点，或者执行一些请求。

第三种 XSRF/CSRF

XSRF/CSRF 假如存在XSS漏洞的话，你的网站可能就是XSRF/CSRF的帮凶了， 黑客可以让通过你的网站去劫持用户浏览器进行一些转帐的请求 （假如用户刚刚登陆那个银行的网站不久），这个可以通过校验 http 头文件的 referer 或者页面token来避免。

漏洞攻击要如何防范

漏洞攻击监控是建立在操作系统之上的，数据包在到达操作系统之前先要经过漏洞攻击监控的检验。因此，不管操作系统是否安装了补丁，只要漏洞攻击监控检测到有攻击数据就会进行报警并拦截。

sql防御措施：不要信任用户输入。不要使用动态拼装sql。

XSS防御措施：过滤特殊字符，说白了就是不相信用户的输入，全部转义，不符合规矩的全部处理掉~个人觉得最好的办法就是全部转成字符串，我试了下百度的，就是这样的。

XSRF/CSRF防御措施：

1.检查referer字段，referer字段表示请求来自哪个地址。通常referer地址应该和请求地址一致，意思就是应该是在自己服务器发出去的正常的网页下操作，不是在别人的恶意网页上发出的请求。

2.校验token，服务器生成一段乱码为token值，在用户访问网页时加入cookie一同返回到浏览器中，当用户需要发送一些重要请求时，服务器校验token是不是之前发送给用户的，这样能保证请求是真的从自己的页面发送过来的。