常见的有四种网络安全攻击方式.
第一种是XSS跨站脚本攻击,往网页中插入恶意脚本代码以攻击用户.
防范措施有三种.
第一种是输入过滤,对用户的所有输入数据进行检测,过滤掉可能导致脚本的字符.
第二种是输出编码,使用工具对用户输入进行编码,使其中可能含有的HTML脚本变成普通字符串.
第三种是Cookie防盗,为了防止攻击者窃取用户的Cookie信息,要尽量避免在Cookie中存放隐私,如用户名,密码等,其次,可以利用MD5等hash算法对Cookie进行多次散列后进行存放,再次,也可以将Cookie和IP进行绑定,防止攻击者伪装正常用户.
第二种是DDos攻击,短时间内对服务器进行大量的网络请求,使服务器瘫痪.
防范措施有三种.
第一种是拦截请求,可以在硬件,防火墙和服务器三个层面进行拦截.硬件层面架设硬件防火墙效果最好,但成本最高;防火墙方面使用软件防火墙进行拦截请求;服务器方面,服务器可以决定拦截哪些请求,对性能消耗很大.
第二种是带宽扩容,购买更大的带宽可以消化DDos攻击.这种方式成本较高,并且不能真正的防范DDos攻击.
第三种是CDN网络,使用CDN网络把网站的静态内容分发到多个服务器,用户就近访问,实质上相当于提高了带宽.这种方法有两个缺点,一个是网站的内容必须大部分是静态内容,另一个是不能泄露源服务器的IP地址,防止攻击者绕过CDN直接攻击源服务器.
第三种是CSRF跨站请求伪造,攻击者伪装成受信任用户来利用受信任网站.
防范措施有两种.
第一种是验证码,用户提交表单时需要填写验证码,可以有效防止CSRF攻击.
第二种时使用Token,Token是服务器和用户共同持有的随机值,当用户提交表单时需要验证服务器和用户的Token是否一致.
第四种是SQL注入攻击,通过把SQL命令插入到表单提交或页面请求中,最终达到欺骗服务器执行恶意SQL命令的目的.
防范措施一般使用参数化查询,使用参数化查询时数据库不会把参数作为SQL语句的一部分来处理,这样SQL注入就无效了.
)
)
