1.Dos拒絕服務攻擊

簡介：Dos拒絕服務攻擊（of）是一種可以使服務器呈現(xiàn)靜態(tài)的攻擊方式。 原理是向服務器發(fā)送大量合法請求。 服務器無法區(qū)分這些請求是正常請求還是攻擊請求，所以會全部接受。 大量請求導致服務器停止工作或拒絕服務。

DDOS分布式拒絕服務攻擊( of )是基于DOS攻擊，借助公網(wǎng)，結合大量計算機設備，向一個或多個目標發(fā)送大量請求，使服務器癱瘓。 DDoS攻擊可以針對網(wǎng)絡通信協(xié)議的每一層，一般包括：TCP類型的SYN、ACK、UDP類型、DNS、ICMP等。CC攻擊也是DDOS攻擊的一種形式。

防御：DDoS防御的技術核心是檢測技術和清洗技術。 檢測技術是檢測網(wǎng)站是否受到DDoS攻擊，清洗技術是清理異常流量。 檢測技術的核心在于對業(yè)務的深刻理解，以便快速準確地判斷是否真的發(fā)生了DDoS攻擊。 清洗技術在不同的業(yè)務場景下需要不同的檢測粒度。

2. CSRF跨站請求偽造

簡介：CSRF跨站請求偽造（-Site）是指攻擊者利用已經(jīng)設置好的陷阱，強制認證用戶進行意外的個人信息狀態(tài)更新，屬于被動攻擊。 更簡單的理解就是攻擊者盜用了你的名字，并以你的名義發(fā)送了其他請求。 JSON劫持（JSON）是一種獲取敏感數(shù)據(jù)的攻擊方式，也屬于CSRF攻擊的范疇。

防御： 1) 設置為 。 CSRF 攻擊主要使用瀏覽器。 為了防止站點出現(xiàn)XSS漏洞網(wǎng)站模板，設置屬性和JS腳本將無法讀取其中的信息網(wǎng)站安全之php防止注入攻擊代碼，避免被攻擊者偽造。

2）增加。 CSRF攻擊之所以成功，是因為在攻擊中偽造了用戶請求，并且包含了用戶請求的驗證信息，因此攻擊者可以利用偽造的請求通過安全驗證。 因此，抵御CSRF攻擊的關鍵是在請求中放入攻擊者無法偽造的信息，而這些信息不在請求中。 鑒于此，開發(fā)者可以在http請求中以參數(shù)的形式添加一個，在服務器端生成，在服務器端驗證，服務器端的每個都可以使用同一個。 如果驗證不一致，則認為是 CSRF 攻擊，請求被拒絕。

3）通過身份驗證。 Http頭中有一個字段，記錄了Http請求的源地址。 但注意不要將它用于身份驗證或其他非常重要的檢查，因為它很容易在客戶端更改。

3. SOL注入攻擊

簡介：SOL注入攻擊是攻擊者成功向服務器提交惡意SQL查詢代碼網(wǎng)站安全之php防止注入攻擊代碼，程序收到后錯誤地將攻擊者的輸入作為查詢語句的一部分執(zhí)行，導致原有的查詢邏輯發(fā)生改變，額外執(zhí)行攻擊或精心制作的惡意代碼。

例如：'OR'1'='1，這是最常見的SQL注入攻擊。 當我們先輸入用戶名再輸入密碼'OR'1'=1='1，當我們查詢用戶名和密碼是否正確時，我們應該執(zhí)行的是* FROM user ='' and ='', 參數(shù)拼接后，會執(zhí)行 SQL 語句 * FROM user ='' and ='' OR '1'='1'。 這時候1=1成立了，驗證自然就跳過了。

防御：逃避特殊字符（'"&*;等）SQL注入漏洞。避免網(wǎng)站打印出SQL錯誤信息，如類型錯誤，字段不匹配等，容易暴露SQL語句代碼。

4.XSS跨站腳本攻擊

簡介：XSS跨站腳本攻擊（-Site）是指在注冊網(wǎng)站用戶的瀏覽器中運行非法的HTML標簽，以達到攻擊目的，如竊取用戶、改變網(wǎng)頁DOM結構、重定向到其他頁面等 XSS攻擊分類包括反射型、存儲型、DOM型、.

防御性：堅決不相信用戶的任何輸入，并過濾掉輸入中的所有特殊字符。 這將消除大部分 XSS 攻擊。 主要有兩種方式：過濾特殊字符和使用HTTP頭指定類型。

5.文件上傳漏洞

簡介：如果網(wǎng)站沒有嚴格驗證文件類型，導致可執(zhí)行文件被上傳到服務器，惡意程序就會被執(zhí)行。

防御：客戶端檢測：一般被程序員用來拒絕非法文件上傳。

服務器端檢測：

1）白名單和黑名單驗證：定義不允許或不允許上傳的文件擴展名；

2）MIME驗證：在php中，通過$['file']['type']進行驗證；

3）目錄驗證：上傳文件時，程序通常會讓用戶將文件放在指定的目錄下網(wǎng)站建設，如果指定的目錄存在，則將文件寫入該目錄。

6. DNS查找攻擊

簡介：DNS查詢攻擊（DNS）是向被攻擊服務器發(fā)送大量隨機產(chǎn)生的域名解析請求，其中大部分根本不存在，通過偽造端口和客戶端IP來防止查詢請求被ACL過濾.

被攻擊的DNS服務器收到域名解析請求后，首先會檢查服務器上是否有對應的緩存。 遞歸查詢域名信息，直到全球互聯(lián)網(wǎng)的13臺根DNS服務器。

大量不存在的域名解析請求給服務器帶來很大的負載。 當解析請求超過一定數(shù)量時，會導致DNS服務器解析域名超時，從而達到攻擊目的。

防御：根據(jù)域名IP自學習結果主動響應，降低服務器負載（使用DNS）； 對突然發(fā)起大量低頻域名解析請求的源IP地址進行帶寬限制； 減少攻擊發(fā)生時很少發(fā)起的域名解析請求的數(shù)量 源IP地址的優(yōu)先級； 限制每個源IP地址每秒的域名解析請求數(shù)。

7.蠻力

簡介：這個一般針對密碼，弱密碼（Weak）容易被別人猜到或者被破解工具暴力破解。

防御：有兩種主要的防御方法。 一是讓密碼足夠復雜，足夠隱蔽，二是限制嘗試次數(shù)。

八、信息披露

簡介：由于Web服務器或應用程序沒有正確處理一些特殊請求，從而泄露了Web服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息等。

防御：敏感信息加密傳輸； 應用報錯時不產(chǎn)生外部調試信息； 過濾用戶提交的數(shù)據(jù)和特殊字符； 確保源代碼和服務器配置的安全。

9. 業(yè)務漏洞

簡介：業(yè)務漏洞與具體應用相關，如參數(shù)篡改（流水號ID/訂單、1元支付）、重放攻擊（變相支付）、權限控制（越權操作）等。

防御：在系統(tǒng)設計階段，需要考慮業(yè)務漏洞，盡可能避免串號和越權操作。

10.后門程序

簡介：后門程序泛指繞過安全控制獲取程序或系統(tǒng)訪問權限的程序方法。 在軟件的開發(fā)階段，程序員經(jīng)常會在軟件中創(chuàng)建后門程序，以修改程序設計中的缺陷。 但是如果這些后門被別人知道，或者在軟件發(fā)布前沒有刪除后門程序，那么就會成為安全隱患，很容易被黑客當作漏洞進行攻擊。

防御：軟件更新使用非對稱后門接口，避免對稱后門接口，打包后端程序，更新補丁去除后門。

網(wǎng)絡安全非常重要。 通過IP歸屬和IP應用場景，很好的屏蔽數(shù)據(jù)中心IP、二次撥號行為、攻擊行為，提升企業(yè)網(wǎng)絡安全防御能力。IP地址免費查詢-全球IP地址定位-IP數(shù)據(jù)云