常見網絡攻擊與防御方法

Xss（跨站腳本攻擊）

概念：將可執行的前端腳本代碼植入到網頁中，通常是利用網頁開發時留下的漏洞，注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序。

其分為兩種類型：一種是反射型，一種是持久型。

反射型是將腳本代碼放在URL中，當用戶點擊URL，該請求就會通過服務器解析返回給瀏覽器，在返回的響應內容中出現攻擊者的XSS代碼，瀏覽器執行時就會中招了。

存儲型是將惡意代碼被存儲在web server中。黑客通過XSS的漏洞，將內容經正常功能提交進入數據庫持久保存，當進行數據庫查詢的時候，再將攻擊腳本渲染進網頁，返回給瀏覽器執行。

XSS防御：

對輸入和URL參數進行過濾，也就是說對提交的內容進行過濾，對url中的參數進行過濾，過濾掉會導致腳本執行的相關內容

對輸出進行編碼，在輸出數據之前對潛在的威脅的字符進行編碼，使腳本無法在瀏覽器中執行。

使用HTTPOnly，一般XSS攻擊通過利用js腳本讀取用戶的cookie，設置了HTTPOnly后js腳本就無法獲取到cookie，應用程序一般也不會在js中操作這些敏感的cookie。

Sql注入

概念：讓web服務器執行攻擊者期望的sql語句，以便得到數據庫中的數據，或對數據庫進行讀取，修改，刪除，插入。sql注入常規套路在于將sql語句放在表單中提交給后端服務器 ，如果后端服務器沒有做任何安全性校驗，直接將變量取出進行數據庫查詢，則極易中招。

sql注入防御：

限制數據類型，在傳入參數的地方限制參數的類型，比如整型，只有get到的id為數字或者數字字符時才能執行下一步。

正則表達式匹配傳入參數，對傳入的值進行匹配，如果不符合就過濾。正則表達式匹配很消耗服務器的性能，因此攻擊時可以構造大量的正常語句騙過服務器，當后臺對數據的處理達到最大限制的時候就會放棄匹配后面的非法語句。

函數過濾轉義，防止”和’進行轉義，這里應該是防止拼接

預編譯語句，使用預編譯語句綁定變量。使用預編譯相當于將數據用代碼分離的方式，把傳入的參數綁定為一個變量，用？表示，攻擊者無法改變sql的結構。將傳入的參數當作純字符串的形式作為username執行，避免sql語句中的拼接閉合查詢語句的過程?？梢岳斫鉃樽址csql語句的關系區分開，username此時作為字符串不會被當做之前的sql語句被帶入數據庫執行，從而避免了類似sql語句拼接，閉合等非法操作。

CSRF（跨站請求偽造攻擊）

概念：利用用戶已經登陸的身份，在用戶毫不知情的情況下，以用戶的名義完成非法操作。攻擊者誘導受害者進入第三方網站，在第三方網站中，向被攻擊網站發送跨站請求，利用受害者在被攻擊網站已經獲取的注冊憑證（比如cookie），繞過后臺的用戶驗證，達到冒充用戶對被攻擊的網站執行某項操作的目的。

CSRF防御：

使用驗證碼，在關鍵的操作頁面加上驗證碼，后臺收到請求后通過判斷驗證碼可以防御CSRF，但這種方法對用戶不太友好

在請求地址中加入token驗證。連接請求中用戶驗證信息都是存在cookie中，因此黑客可以通過cookie來通過安全驗證（cookie也可以通過Xss攻擊獲得）。在http請求中以參數的形式加入一個隨機產生的token，在服務器端建立一個攔截器來驗證這個token，如果驗證不通過，則拒絕該請求

驗證http referer字段。http頭中的referer字段記錄了該http請求的來源地址。在通常情況下，訪問一個安全受限頁面的請求來自于同一個網站，而如果黑客要實施csrf攻擊，一般只能在自己的網站構造請求，因此可以通過驗證referer值來防御csrf攻擊。

DDos

概念：攻擊者使用多臺計算機執行dos攻擊。dos攻擊是攻擊者不斷向服務器提出請求，占用服務器多資源，導致服務器無法處理正常的請求。

DDos防御：

CDN，通過多個CDN連接點相互承受攻擊，不容易由于一個連接點被攻擊而導致癱瘓****（隱藏服務器IP，讓CDN為服務器承擔攻擊）。采用CDN要隱藏源服務器的ip地址，要不然攻擊可以越過CDN直接攻擊源服務器

配置web防火墻

高防IP，將攻擊流量引流到高防IP，從而保護真正的ip不被暴露，確保源站的穩定可靠。

采用高防服務器，獨立單個硬防御應對ddos攻擊和cc攻擊100g以上的服務器

審核編輯：黃飛