XSS攻击
- 跨站脚本攻击;
- 是什么:攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其浏览器浏览该网站时,这段HTML代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在XSS攻击);
- 危害: 盗取用户cookie,破坏页面结构,重定向到其他网站;
- 防御:对用户输入的信息进行处理,只允许合法的值;
CSRF攻击
- 跨站请求伪造
- 是什么:攻击者盗用了你的身份,以你的名义发送恶意请求;
- 危害:以你的名义发送邮件,盗取帐号,购买东西等;
- 原理: 首先个登录某网站,并在本地生成cookie;然后在不登出的情况下,访问危害网站。
- 防御: 可以从服务端和客户端两方面进行考虑。但是在服务端的效果好。
- 随机的cookie
- 添加验证码
- 不同的表单包含一个不同的伪随机值
- 注意:如果用户在一个站点上同时打开了两个不同的表单。CSRF保护措施不应该影响到他对任何表单的提交
SQL注入
- 是什么:通过sql命令伪装成正常的http请求参数,传递到服务端,服务器执行sql命令造成对数据库进行攻击
- 原理:sql语句伪造参数,然后在对参数机型拼接后形成破坏性的sql语句,最后导致数据库收到攻击
- 防御:
- 对参数进行转义
- 数据库中的密码不应明文存储,可以对密码使用md5进行加密。
DDOS攻击(分布式拒绝服务攻击)
- 是什么:简单来说就是ifasong大量的请求使服务器瘫痪。
- 被攻击的原因:服务器带宽不足,不能挡住攻击者的攻击流量。
- 防御:
- 最直接的方法就是增加带宽;
- 使用硬件防火墙;
- 优化资源使用提高 web server 的负载能力