常見的 CSRF、XSS、sql注入、DDOS流量攻擊

CSRF攻擊 ：跨站請求偽造攻擊 ，CSRF全名是Cross-site request forgery，是一種對網站的惡意利用，CSRF比XSS更具危險性

攻擊者一般會使用吸引人的圖片去引導用戶點擊進去他設定好的全套，然後你剛登錄的A網站沒有關閉，這時候攻擊者會利用JS事件去模擬用戶請求A網站信息，從而就得到了目的。預防措施：為表單提交都加上自己定義好的token然後加密好，後台也一樣的規則然後進行對比。

XSS攻擊：跨站腳本攻擊， XSS攻擊是Web攻擊中最常見的攻擊方法之一，它是通過對網頁注入可執行代碼且成功地被瀏覽器執行，達到攻擊的目的，形成了一次有效XSS攻擊，一旦攻擊成功，它可以獲取用戶的聯繫人列表，然後向聯繫人發送虛假詐騙信息，可以刪除用戶的日誌等等，有時候還和其他攻擊方式同時實施比如SQL注入攻擊伺服器和資料庫、Click劫持、相對鏈接劫持等實施釣魚，它帶來的危害是巨大的，是web安全的頭號大敵.

攻擊者一般通過script標籤對網站注入一些可執行的代碼，這樣就可以很輕鬆的獲取到用戶的一些信息。預防措施：strip_tags() 函數,過濾掉輸入、輸出裡面的惡意標籤和使用htmlentities()函數把標籤字元串轉換成html實體。

可以利用下面的這些函數對出現的xss漏洞的參數進行過濾；

1.htmlspecialchars()函數，用於轉義處理在頁面上顯示的文本；

2.htmlentities()函數，用於轉義處理在頁面上顯示的文本；

3.strip_tags()函數，過濾掉輸入，輸出裡面的標籤；

4.header()函數，使用header("Content-type:application/json");

5.urlencode()函數，用於輸出處理字元型參數帶入頁面鏈接中。

6.inval()函數用於處理數值型參數輸出頁面中。

sql注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。

~上圖因為沒有做預防措施所以導致直接登錄成功！！

總結：

1、對用戶輸入的內容要時刻保持警惕。

2、只有客戶端的驗證等於沒有驗證。

3、永遠不要把伺服器錯誤信息暴露給用戶

預防措施：把一些sql語句進行過濾，比如delete update insert select * 或者使用PDO佔位符進行轉義。

DDOS流量攻擊：攻擊者通過漏洞往網頁進行病毒木馬的注入，一旦中了招，就成功成為肉雞。

最常見的攻擊其中有一種SYN攻擊，它利用tcp協議往伺服器發送大量的半連接請求，當半連接隊列達到最大值的時候，正常的數據包會被伺服器丟棄，最後你網站可能一分鐘不到就不不開了。

預防措施：

1、正確設置防火牆

2、禁止對主機的非開放服務的訪問

3、限制特定IP地址的訪問

4、啟用防火牆的防DDoS的屬性

5、嚴格限制對外開放的伺服器的向外訪問

6、運行埠映射程序禍埠掃描程序，要認真檢查特權埠和非特權埠。過濾沒必要的服務和埠、定期掃描漏洞進行處理、利用路由器進行防護（路由器死掉後重啟一下即可不會影響伺服器）或者網路沒有癱瘓的情況下，可以查一下攻擊來源，然後臨時把這些IP過濾一下。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！