CSRF攻擊 ：跨站請(qǐng)求偽造攻擊 ，CSRF全名是Cross-site request forgery，是一種對(duì)網(wǎng)站的惡意利用，CSRF比XSS更具危險(xiǎn)性

攻擊者一般會(huì)使用吸引人的圖片去引導(dǎo)用戶點(diǎn)擊進(jìn)去他設(shè)定好的全套，然后你剛登錄的A網(wǎng)站沒(méi)有關(guān)閉，這時(shí)候攻擊者會(huì)利用JS事件去模擬用戶請(qǐng)求A網(wǎng)站信息，從而就得到了目的。

預(yù)防措施：為表單提交都加上自己定義好的token然后加密好，后臺(tái)也一樣的規(guī)則然后進(jìn)行對(duì)比。

XSS攻擊：跨站腳本攻擊， XSS攻擊是Web攻擊中最常見的攻擊方法之一，它是通過(guò)對(duì)網(wǎng)頁(yè)注入可執(zhí)行代碼且成功地被瀏覽器執(zhí)行，達(dá)到攻擊的目的，形成了一次有效XSS攻擊，一旦攻擊成功，它可以獲取用戶的聯(lián)系人列表，然后向聯(lián)系人發(fā)送虛假詐騙信息，可以刪除用戶的日志等等，有時(shí)候還和其他攻擊方式同時(shí)實(shí)施比如SQL注入攻擊服務(wù)器和數(shù)據(jù)庫(kù)、Click劫持、相對(duì)鏈接劫持等實(shí)施釣魚，它帶來(lái)的危害是巨大的，是web安全的頭號(hào)大敵。

攻擊者一般通過(guò)script標(biāo)簽對(duì)網(wǎng)站注入一些可執(zhí)行的代碼，這樣就可以很輕松的獲取到用戶的一些信息。預(yù)防措施：strip_tags() 函數(shù),過(guò)濾掉輸入、輸出里面的惡意標(biāo)簽和使用htmlentities()函數(shù)把標(biāo)簽字符串轉(zhuǎn)換成html實(shí)體。

可以利用下面的這些函數(shù)對(duì)出現(xiàn)的xss漏洞的參數(shù)進(jìn)行過(guò)濾；

1. htmlspecialchars()函數(shù)，用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本；

2. htmlentities()函數(shù)，用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本；

3. strip_tags()函數(shù)，過(guò)濾掉輸入，輸出里面的標(biāo)簽；

4. header()函數(shù)，使用header("Content-type:application/json");

5. urlencode()函數(shù)，用于輸出處理字符型參數(shù)帶入頁(yè)面鏈接中。

6. inval()函數(shù)用于處理數(shù)值型參數(shù)輸出頁(yè)面中。

SQL注入：就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

上圖因?yàn)闆](méi)有做預(yù)防措施所以導(dǎo)致直接登錄成功??！ 

總結(jié)：

1、對(duì)用戶輸入的內(nèi)容要時(shí)刻保持警惕。

2、只有客戶端的驗(yàn)證等于沒(méi)有驗(yàn)證。

3、永遠(yuǎn)不要把服務(wù)器錯(cuò)誤信息暴露給用戶

預(yù)防措施：把一些sql語(yǔ)句進(jìn)行過(guò)濾，比如delete update insert select * 或者使用PDO占位符進(jìn)行轉(zhuǎn)義。

DDOS流量攻擊：

攻擊者通過(guò)漏洞往網(wǎng)頁(yè)進(jìn)行病毒木馬的注入，一旦中了招，就成功成為肉雞。

最常見的攻擊其中有一種SYN攻擊，它利用tcp協(xié)議往服務(wù)器發(fā)送大量的半連接請(qǐng)求，當(dāng)半連接隊(duì)列達(dá)到最大值的時(shí)候，正常的數(shù)據(jù)包會(huì)被服務(wù)器丟棄，最后你網(wǎng)站可能一分鐘不到就不不開了。

預(yù)防措施：

1. 正確設(shè)置防火墻

2. 禁止對(duì)主機(jī)的非開放服務(wù)的訪問(wèn)

3. 限制特定IP地址的訪問(wèn)

4. 啟用防火墻的防DDoS的屬性

5. 嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問(wèn)

6. 運(yùn)行端口映射程序禍端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。過(guò)濾沒(méi)必要的服務(wù)和端口、定期掃描漏洞進(jìn)行處理、利用路由器進(jìn)行防護(hù)（路由器死掉后重啟一下即可不會(huì)影響服務(wù)器）或者網(wǎng)路沒(méi)有癱瘓的情況下，可以查一下攻擊來(lái)源，然后臨時(shí)把這些IP過(guò)濾一下

本文鏈接：http://www.azlx8.cn/article/186.html