# 一、列举集中常见的网站攻击方式 ## 1.跨站脚本攻击：xss（Cross Site Script），攻击者将恶意代码植入到提供给其它用户使用的页面。 &nbsp; 存储型xss：将恶意代码作为信息的一部分通过表单一起提交保存到数据库持久保存，则后续每个浏览该信息页面的用户都会被恶意代码攻击。典型的如论坛博客，留言板等。比如在信息内容里插一段 ``` 一些文本。。。<script>alert(document.cookie)</script>。。。文本 ``` 反射型xss：通过正常网站的url参数处理不合理（将参数直接作为文档输出到页面比如在页面原样html输出参数，像jquery的html方法以及类似的直接渲染文本到界面。当参数是恶意代码时也会直接执行）构造参数为恶意代码的url，并诱使用户点击，达到攻击用户的目的。这种攻击想达到攻击大面积用户的效果需要依赖第一种，构造恶意url并存储在网站，使所有用户可能被诱使点击。 参见：[http://netsecurity.51cto.com/art/201311/417201.htm](http://netsecurity.51cto.com/art/201311/417201.htm) &nbsp; 解决方案： 前后端对于用户的输入均做特殊字符处理，比如脚本标签&lt;script&gt;; ``` //php防止xss攻击简易函数 来源 http://www.myexception.cn/php/2216573.html function xss_clean ($var) { $ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/i','/javascript/i','/vbscript/i','/onload/i','/onunload/i','/onchange/i','/onsubmit/i','/onreset/i','/onselect/i','/onblur/i','/onfocus/i','/onabort/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onclick/i','/ondblclick/i','/onmousedown/i','/onmousemove/i','/onmouseout/i','/onmouseover/i','/onmouseup/i','/onunload/i'); $var = preg_replace($ra,'',$var); return htmlspecialchars($var,ENT_QUOTES); } ``` 交互请求进来POST而不是GET； 设置 HTTP Header： "X-XSS-Protection: 1"; &nbsp; ## 2.SQL注入：（SQL Injection）就是通过客户端的输入把 SQL 命令注入到一个应用的数据库中，从而得以执行恶意 SQL 语句。 先看个例子。 ``` uname = request.POST['username'] password = request.POST['password'] sql = "SELECT all FROM users WHERE username='" + uname + "' AND password='" + password + "'" database.execute(sql) ``` 上面这段程序直接将客户端传过来的数据写入到数据库。试想一下，如果用户传入的 password 值是： "password’ OR 1=1"，那么 sql 语句便会变成： ``` sql = "SELECT all FROM users WHERE username='username' AND password='password' OR 1=1" ``` 那么，这句 sql 无论 username 和 password 是什么都会执行，从而将所有用户的信息取出来。 &nbsp; 解决方案： SQL语句预定义，参数绑定，参数传递。避免直接拼接sql形成特殊的语意； &nbsp; ## 3.分布式拒绝服务：DDOS（Distributed Denial of Service），通过大量恶意流量占用带宽和计算资源以达到瘫痪对方网络的目的。 举个简单的例子，老郑家面馆生意红火，突然有一天一群小混混进了点，霸占了座位，只闲聊不点菜，结果坐在店里的人不吃面，想吃面的人进不来，导致老郑无法向正常客户服务。 而 DDoS 攻击就是将多个计算机联合起来一同向目标发起攻击，从而成倍地提高拒绝服务攻击的威力。 除了使用程序模拟大量用户访问被攻击网站，也可以借用上面XSS漏洞，在有漏洞的大流量的网站页面使用自动重定向到目标网站也可以达到攻击的目的。 &nbsp; 解决方案： 目前没有完全杜绝的方法，理论上是电脑攻击，达到的效果是拒绝用户服务；那么识别电脑攻击并快速拒绝服务并将攻击IP拉入黑名单以达到减少服务资源占用。另外DDOS攻击也需要大量的成本，流量以及IP资源。 &nbsp; ## 4.跨站请求伪造：CSRF（Cross Site Request Forgery），利用网站B在网站A对用户信任的情况下（登录）模拟成用户行为向网站A进行恶意请求。 常见的，恶意请求都是get请求，有利于攻击者将攻击目的直接在参数上体现。 举个例子。网站 A 是一家银行的网站，一个转账接口是 "http://www.bankA.com/transfer?toID=12345678&cash=1000"。toID 表示转账的目标账户，cash 表示转账数目。当然这个接口没法随便调用，只有在已经验证的情况下才能够被调用。 此时，攻击者建立了一个 B 网站，里面放了一段隐藏的代码，用来调用转账的接口。当受害者先成功登录了 A 网站，短时间内不需要再次验证，这个时候又访问了网站 B（任何其他网站都可以，只要访问页面包含恶意链接并诱使用户点击了），B 里面隐藏的恶意代码就能够成功执行。 此时将制定URL参数收款人的ID为攻击者，转账金额为任意攻击者制定；这时网站A程序会以为用户想要向攻击者转账，造成损失。该漏洞结合跨站脚本攻击（XSS）会威力无穷； 试想下，攻击者在漏洞网站B（任意有XSS漏洞的页面，部署恶意的自动跳转），那么任何访问的用户都会执行恶意请求，如果刚好又登录了A网站，那么恶意请求就会生效。 &nbsp; 解决方案：（核心原理都是杜绝伪造，保证请求来源可信任） 对敏感接口进行同源比较，即检查标准头部，确认请求是否同源： 检查 source origin 和 target origin，然后比较两个值是否匹配。这样可以保证敏感接口的请求来源是可信任的； HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域名下； 对数据提交页面随机生成token，并在提交时验证，保证数据可信任； &nbsp; # 二、如何保证接口请求安全