常见的XSS攻击、SQL注入、CSRF攻击等攻击方式及防御方式,这些是针对代码或系统本身的攻击,也有一些攻击模式发生在网络层或潜在的攻击漏洞也在这里总结。DOS/DDOS攻击DOS攻击并不是指攻击DOS系统,或者是通过DOS系统进行攻击。DOS攻击的全称是Denialofservice,即拒绝服务。其主要攻击目的是耗尽计算机硬件或网络宽带资源,使服务器无法提供正常服务,而DDOS攻击是Distributeddenialofservice,即分布式拒绝服务攻击,攻击者利用多个服务器资源发起攻击攻击同一目标服务器,使目标服务器迅速崩溃。无论是DOS还是DDOS,它们的本质都是通过各种手段消耗目标服务器的资源,使目标服务器瘫痪,无法接受用户服务。一般在租用阿里云等服务器资源时,都有Web应用防火墙可以防止DOS攻击。如果是自己的服务器,需要专业的运维人员来架设服务器,防止DOS攻击。DNS攻击DNS攻击包括DNS劫持和DNS污染。DNS劫持就是通过某种手段控制DNS服务器,篡改域名的真实解析结果,返回攻击者的IP地址,从而跳转到攻击者的页面。比如我们的宽带快到期了,或者有什么促销信息。电信总会弹出一个营销界面,提醒我们宽带快到期或者有什么活动。这其实就是运营商DN劫持的鬼。像在我们本地,host文件经常被配置用来开发和测试联调,或者访问那些不能访问但又想访问的url。防止DNS劫持,可以使用国外知名的DNS服务器,比如谷歌的8.8.8.8,或者准备两个域名,一个被劫持,引导用户访问另一个。DNS污染发生在请求DNS解析之前的第一步,直接干扰协议上的DNS解析请求,因为DNS查询是基于不可靠、无连接的UDP协议,不经过认证,很容易被篡改,所以attack攻击者在UDP53端口进行DNS查询检测,将攻击者错误的解析结果返回给用户,即DNS污染。DNS污染可以自己搭建一个DNS服务器,使用TCP加密,但是延迟可能会比较大。错误回显在SQL注入防御部分有描述,即无法将数据库表和代码的关键信息输出到用户浏览器,这里不再详细描述。网页注释为了方便开发或者联调,我们经常在代码中使用注释。有些注释可能包含重要信息,给攻击者以可乘之机,所以最好养成及时删除敏感注释的好习惯,或者在开发完成后,对代码进行审查。文件上传一般网站都会有文件上传功能,比如人才网,里面会包含用户头像,简历附件等,如果攻击者上传一个.exe可执行程序到服务器,那么这个可执行程序很可能控制服务器,或者通过本服务器间接攻击其他内部服务器组,后果非常严重。因此,对于上传功能,需要限制用户可以上传的文件类型。比如头像必须是jpg等图片格式;这些文件最好分开存放。首先,它可以提高系统性能。到其他服务器;另外,存储采用重命名的方式,比如QQ之间互传文件,一般在文件名后加上“.recommand”后缀,就是为了防止用户点击.exe文件造成病毒攻击。
