转自博客园，作者jesse zhang

一.跨站脚本攻击(XSS)

跨站脚本攻击(XSS，Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。

当查看到页面时，这些特定的脚本会以用户的身份和权限执行。XSS使修改用户数据、窃取用户信息和引发其他类型的攻击(如CSRF攻击)变得相对容易。

常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义。

出错的页面的漏洞也可能造成XSS攻击。比如页面/gift/giftList.htm?page=2找不到,出错页面直接把该URL原样输出,如果攻击者在URL后面加上攻击代码发给受害者,就有可能出现XSS攻击 。

二. 跨站请求伪造攻击(CSRF)

另一种常见的攻击是跨站点请求伪造(CSRF，Cross-site request forgery)。攻击者以多种方式伪造请求，模仿用户提交表单来修改用户的数据或执行特定的任务。

CSRF攻击通常与XSS攻击结合使用，以模拟用户的身份，但也可以以其他方式使用，例如诱导用户单击包含该攻击的链接。

解决的思路有:

1、使用POST请求增加攻击难度。用户单击链接启动GET请求。然而，POST请求相对比较困难，攻击者通常需要javascript来实现它们。

2、对请求进行身份验证，以确保该请求实际上是由用户填写和提交的，而不是由第三方伪造的。您可以在会话中添加token，以确保是同一个人看到信息并提交它。

三.HTTP Heads攻击

您在浏览器中查看的任何WEB站点，无论您的WEB站点使用什么技术或框架，都使用HTTP协议，它在Response header和content之间有一个空行，即两组CRLF (0x0D 0A)字符。

这一空行记了headers的结束和content的开始。攻击者可以利用这一点。只要攻击者能够将headers“注入”任何字符，这种攻击就会发生。

避免这种攻击的方法是过滤所有的response headers中的非法字符，尤其是CRLF。服务器通常会限制request headers的大小。

例如Apache server默认限制request header为8K bytes。如果超过8K bytes，Aapche Server将会返回400 Bad Request响应：对于大多数情况，8K bytes是足够大的。

假设应用程序在cookie中存储了一些用户输入，那么它可能超过8K bytes。超过8K bytes的header链接给受害者，然后会被服务器拒绝。解决方案是检查cookie的大小，限制新cookie的总大写，并减少由于header过大而导致的拒绝访问攻击。

四.Cookie攻击

通过Java Script非常容易访问到当前网站的cookie。你可以打开任何网站，然后在浏览器地址栏中输 入：javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。

攻击者可以使用此功能访问您的密钥信息。例如，结合XSS攻击，攻击者会在你的浏览器上执行特定的Java Script脚本来获得你的cookie。

假如说，这个网站仅依赖cookie来验证用户身份，那么攻击者就可以冒充你的身份来做一些事情。

现在多数浏览器都支持在cookie上打上HttpOnly的标记,凡有这个标志的cookie就无法通过Java Script来取得,如果能在关键cookie上打上这个标记，就会大大增强cookie的安全性。

五.重定向攻击

一种常用的攻击形式是网络钓鱼。网络钓鱼攻击者通常会向受害者发送一个貌似合法的链接，当链接被点击时，用户会被指向一个非法网站，从而欺骗用户的信任，窃取用户的信息。

为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。

常见解决方案是白名单,将合法的重要定向的URL加到白名单中，非白名单上的域名重定向时拒之，第二种解决方案是重定向token,在合法的URL上加上token,重定向时进行验证。

六.上传文件攻击

1、文件名攻击，使用上传之前用文件名，这就可能造成:客户端与服务器端字符代码不兼容，导致文件名混淆乱码;文件名包含脚本，进而导致攻击。

2、文件后缀攻击。上传文件的后缀可以是exe可执行文件、js脚本等，这些有害程序可以在受害者的客户端甚至服务器上执行。因此我们必须过滤文件名后缀,排除那些不被许可的文件名后缀。

3、文件内容的攻击。IE6存在的一个严重问题是，它不信任服务器发送的content type，而是根据文件的内容自动识别文件的类型，并根据它识别的文件类型显示或执行文件。

如果上传一个gif文件,在文件末尾放一段js攻击脚本,就有可能被执行。这种攻击,它的文件名和content type看起来都是合法的gif图片。

然而其内容却包含脚本，这样的攻击无法用文件名过滤来排除，而是必须扫描其文件内容，才能识别的。

了解完以上的WEB站攻击方式后，有没有感觉细思极恐呢？所以说，在这个互联网时代，无论你是谁，都应该了解这些内容，做好安全防护！

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

超级盾具有无限防御DDoS、100%防CC的优势、我们用安全守卫梦想：

我们的存在，就是为了让用户一劳永逸的解决黑客对其带来的骚扰，不再为网络攻击带来的损失和痛苦而烦恼，聚精会神的去发展业务。

超级盾在默默的守护着大家。就像超级盾对大家的承诺的那样：

7*24全天候服务，DDoS防御无上限，100%防御CC。

网御天下、心享太平！

精彩在后面

▽▽▽

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾：从现在开始，我的每一句话都是认真的。

如果，你被攻击了，别打110、119、120，来这里看着就行。

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势。