1.Dos拒絕服務(wù)攻擊

簡介：Dos拒絕服務(wù)攻擊（of）是一種可以使服務(wù)器呈現(xiàn)靜態(tài)的攻擊方式。 原理是向服務(wù)器發(fā)送大量合法請(qǐng)求。 服務(wù)器無法區(qū)分這些請(qǐng)求是正常請(qǐng)求還是攻擊請(qǐng)求，所以會(huì)全部接受。 大量請(qǐng)求導(dǎo)致服務(wù)器停止工作或拒絕服務(wù)。

DDOS分布式拒絕服務(wù)攻擊( of )是基于DOS攻擊，借助公網(wǎng)，結(jié)合大量計(jì)算機(jī)設(shè)備，向一個(gè)或多個(gè)目標(biāo)發(fā)送大量請(qǐng)求，使服務(wù)器癱瘓。 DDoS攻擊可以針對(duì)網(wǎng)絡(luò)通信協(xié)議的每一層，一般包括：TCP類型的SYN、ACK、UDP類型、DNS、ICMP等。CC攻擊也是DDOS攻擊的一種形式。

防御：DDoS防御的技術(shù)核心是檢測(cè)技術(shù)和清洗技術(shù)。 檢測(cè)技術(shù)是檢測(cè)網(wǎng)站是否受到DDoS攻擊，清洗技術(shù)是清理異常流量。 檢測(cè)技術(shù)的核心在于對(duì)業(yè)務(wù)的深刻理解，以便快速準(zhǔn)確地判斷是否真的發(fā)生了DDoS攻擊。 清洗技術(shù)在不同的業(yè)務(wù)場(chǎng)景下需要不同的檢測(cè)粒度。

2. CSRF跨站請(qǐng)求偽造

簡介：CSRF跨站請(qǐng)求偽造（-Site）是指攻擊者利用已經(jīng)設(shè)置好的陷阱，強(qiáng)制認(rèn)證用戶進(jìn)行意外的個(gè)人信息狀態(tài)更新，屬于被動(dòng)攻擊。 更簡單的理解就是攻擊者盜用了你的名字，并以你的名義發(fā)送了其他請(qǐng)求。 JSON劫持（JSON）是一種獲取敏感數(shù)據(jù)的攻擊方式，也屬于CSRF攻擊的范疇。

防御： 1) 設(shè)置為 。 CSRF 攻擊主要使用瀏覽器。 為了防止站點(diǎn)出現(xiàn)XSS漏洞網(wǎng)站模板，設(shè)置屬性和JS腳本將無法讀取其中的信息網(wǎng)站安全之php防止注入攻擊代碼，避免被攻擊者偽造。

2）增加。 CSRF攻擊之所以成功，是因?yàn)樵诠糁袀卧炝擞脩粽?qǐng)求，并且包含了用戶請(qǐng)求的驗(yàn)證信息，因此攻擊者可以利用偽造的請(qǐng)求通過安全驗(yàn)證。 因此，抵御CSRF攻擊的關(guān)鍵是在請(qǐng)求中放入攻擊者無法偽造的信息，而這些信息不在請(qǐng)求中。 鑒于此，開發(fā)者可以在http請(qǐng)求中以參數(shù)的形式添加一個(gè)，在服務(wù)器端生成，在服務(wù)器端驗(yàn)證，服務(wù)器端的每個(gè)都可以使用同一個(gè)。 如果驗(yàn)證不一致，則認(rèn)為是 CSRF 攻擊，請(qǐng)求被拒絕。

3）通過身份驗(yàn)證。 Http頭中有一個(gè)字段，記錄了Http請(qǐng)求的源地址。 但注意不要將它用于身份驗(yàn)證或其他非常重要的檢查，因?yàn)樗苋菀自诳蛻舳烁摹?/p>

3. SOL注入攻擊

簡介：SOL注入攻擊是攻擊者成功向服務(wù)器提交惡意SQL查詢代碼網(wǎng)站安全之php防止注入攻擊代碼，程序收到后錯(cuò)誤地將攻擊者的輸入作為查詢語句的一部分執(zhí)行，導(dǎo)致原有的查詢邏輯發(fā)生改變，額外執(zhí)行攻擊或精心制作的惡意代碼。

例如：'OR'1'='1，這是最常見的SQL注入攻擊。 當(dāng)我們先輸入用戶名再輸入密碼'OR'1'=1='1，當(dāng)我們查詢用戶名和密碼是否正確時(shí)，我們應(yīng)該執(zhí)行的是* FROM user ='' and ='', 參數(shù)拼接后，會(huì)執(zhí)行 SQL 語句 * FROM user ='' and ='' OR '1'='1'。 這時(shí)候1=1成立了，驗(yàn)證自然就跳過了。

防御：逃避特殊字符（'"&*;等）SQL注入漏洞。避免網(wǎng)站打印出SQL錯(cuò)誤信息，如類型錯(cuò)誤，字段不匹配等，容易暴露SQL語句代碼。

4.XSS跨站腳本攻擊

簡介：XSS跨站腳本攻擊（-Site）是指在注冊(cè)網(wǎng)站用戶的瀏覽器中運(yùn)行非法的HTML標(biāo)簽，以達(dá)到攻擊目的，如竊取用戶、改變網(wǎng)頁DOM結(jié)構(gòu)、重定向到其他頁面等 XSS攻擊分類包括反射型、存儲(chǔ)型、DOM型、.

防御性：堅(jiān)決不相信用戶的任何輸入，并過濾掉輸入中的所有特殊字符。 這將消除大部分 XSS 攻擊。 主要有兩種方式：過濾特殊字符和使用HTTP頭指定類型。

5.文件上傳漏洞

簡介：如果網(wǎng)站沒有嚴(yán)格驗(yàn)證文件類型，導(dǎo)致可執(zhí)行文件被上傳到服務(wù)器，惡意程序就會(huì)被執(zhí)行。

防御：客戶端檢測(cè)：一般被程序員用來拒絕非法文件上傳。

服務(wù)器端檢測(cè)：

1）白名單和黑名單驗(yàn)證：定義不允許或不允許上傳的文件擴(kuò)展名；

2）MIME驗(yàn)證：在php中，通過$['file']['type']進(jìn)行驗(yàn)證；

3）目錄驗(yàn)證：上傳文件時(shí)，程序通常會(huì)讓用戶將文件放在指定的目錄下網(wǎng)站建設(shè)，如果指定的目錄存在，則將文件寫入該目錄。

6. DNS查找攻擊

簡介：DNS查詢攻擊（DNS）是向被攻擊服務(wù)器發(fā)送大量隨機(jī)產(chǎn)生的域名解析請(qǐng)求，其中大部分根本不存在，通過偽造端口和客戶端IP來防止查詢請(qǐng)求被ACL過濾.

被攻擊的DNS服務(wù)器收到域名解析請(qǐng)求后，首先會(huì)檢查服務(wù)器上是否有對(duì)應(yīng)的緩存。 遞歸查詢域名信息，直到全球互聯(lián)網(wǎng)的13臺(tái)根DNS服務(wù)器。

大量不存在的域名解析請(qǐng)求給服務(wù)器帶來很大的負(fù)載。 當(dāng)解析請(qǐng)求超過一定數(shù)量時(shí)，會(huì)導(dǎo)致DNS服務(wù)器解析域名超時(shí)，從而達(dá)到攻擊目的。

防御：根據(jù)域名IP自學(xué)習(xí)結(jié)果主動(dòng)響應(yīng)，降低服務(wù)器負(fù)載（使用DNS）； 對(duì)突然發(fā)起大量低頻域名解析請(qǐng)求的源IP地址進(jìn)行帶寬限制； 減少攻擊發(fā)生時(shí)很少發(fā)起的域名解析請(qǐng)求的數(shù)量 源IP地址的優(yōu)先級(jí)； 限制每個(gè)源IP地址每秒的域名解析請(qǐng)求數(shù)。

7.蠻力

簡介：這個(gè)一般針對(duì)密碼，弱密碼（Weak）容易被別人猜到或者被破解工具暴力破解。

防御：有兩種主要的防御方法。 一是讓密碼足夠復(fù)雜，足夠隱蔽，二是限制嘗試次數(shù)。

八、信息披露

簡介：由于Web服務(wù)器或應(yīng)用程序沒有正確處理一些特殊請(qǐng)求，從而泄露了Web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。

防御：敏感信息加密傳輸； 應(yīng)用報(bào)錯(cuò)時(shí)不產(chǎn)生外部調(diào)試信息； 過濾用戶提交的數(shù)據(jù)和特殊字符； 確保源代碼和服務(wù)器配置的安全。

9. 業(yè)務(wù)漏洞

簡介：業(yè)務(wù)漏洞與具體應(yīng)用相關(guān)，如參數(shù)篡改（流水號(hào)ID/訂單、1元支付）、重放攻擊（變相支付）、權(quán)限控制（越權(quán)操作）等。

防御：在系統(tǒng)設(shè)計(jì)階段，需要考慮業(yè)務(wù)漏洞，盡可能避免串號(hào)和越權(quán)操作。

10.后門程序

簡介：后門程序泛指繞過安全控制獲取程序或系統(tǒng)訪問權(quán)限的程序方法。 在軟件的開發(fā)階段，程序員經(jīng)常會(huì)在軟件中創(chuàng)建后門程序，以修改程序設(shè)計(jì)中的缺陷。 但是如果這些后門被別人知道，或者在軟件發(fā)布前沒有刪除后門程序，那么就會(huì)成為安全隱患，很容易被黑客當(dāng)作漏洞進(jìn)行攻擊。

防御：軟件更新使用非對(duì)稱后門接口，避免對(duì)稱后門接口，打包后端程序，更新補(bǔ)丁去除后門。

網(wǎng)絡(luò)安全非常重要。 通過IP歸屬和IP應(yīng)用場(chǎng)景，很好的屏蔽數(shù)據(jù)中心IP、二次撥號(hào)行為、攻擊行為，提升企業(yè)網(wǎng)絡(luò)安全防御能力。IP地址免費(fèi)查詢-全球IP地址定位-IP數(shù)據(jù)云