文章目录


一、sql注入

1.是什么:

通过sql命令伪装成正常的 http 请求参数,传递到服务端,服务器执行sql命令造成对数据库进行攻击。

2.原理:

sql语句伪造参数,然后在对参数机型拼接后形成破坏性的sql语句,最后导致数据库收到攻击。

3.防御:

a. 对参数进行转义

b. 数据库中的密码不应明文存储,可以对密码使用md5进行加密。

二、CSRF攻击【跨站请求伪造】

1.是什么:

攻击者盗用了你的身份,以你的名义发送恶意请求;

2.危害:

以你的名义发送邮件,盗取账号,购买东西等;

3.原理:

首先个登录某网站,并在本地生成cookie;然后在不登出的情况下,访问危害网站。

4.防御:

可以从服务端和客户端俩方面进行考虑。但是在服务端的效果好。

a. 随机的 cookie

b. 添加验证码

c. 不同的表单包含一个不同的伪随机值


PS:如果用户在一个站点上同时打开了俩个不同的表单。CSRF 保护措施不应该影响到他对任何表单的提交。


三、XSS攻击【跨站脚本攻击】

1.是什么:

攻击者向有 XSS 漏洞的网站中输入恶意的 JS 代码,当其浏览器浏览该网站时,这段 JS 代码会自动执行。(理论上所有可以输入的地方没有对输入的数据进行处理,都会存在 XSS 攻击);

2.危害:

盗取用户 cookie,破坏页面结构,重定向到其他网站;

3.防御:

对用户输入的信息进行处理,只允许合法的值。

四、DDOS攻击【分布式拒绝服务攻击】

1.是什么:

简单来说就是 ifasong 大量的请求使服务器瘫痪。

2.被攻击的原因:

服务器带宽不足,不能挡住攻击者的攻击流量。

3.防御:

a. 最直接的方法就是增加带宽

b. 使用硬件防火墙

c. 优化资源使用提高 web server 的负载能力