# 一、列举集中常见的网站攻击方式
## 1.跨站脚本攻击:xss(Cross Site Script),攻击者将恶意代码植入到提供给其它用户使用的页面。
存储型xss:将恶意代码作为信息的一部分通过表单一起提交保存到数据库持久保存,则后续每个浏览该信息页面的用户都会被恶意代码攻击。典型的如论坛博客,留言板等。比如在信息内容里插一段
```
一些文本。。。<script>alert(document.cookie)</script>。。。文本
```
反射型xss:通过正常网站的url参数处理不合理(将参数直接作为文档输出到页面比如在页面原样html输出参数,像jquery的html方法以及类似的直接渲染文本到界面。当参数是恶意代码时也会直接执行)构造参数为恶意代码的url,并诱使用户点击,达到攻击用户的目的。这种攻击想达到攻击大面积用户的效果需要依赖第一种,构造恶意url并存储在网站,使所有用户可能被诱使点击。
参见:[http://netsecurity.51cto.com/art/201311/417201.htm](http://netsecurity.51cto.com/art/201311/417201.htm)
解决方案:
前后端对于用户的输入均做特殊字符处理,比如脚本标签<script>;
```
//php防止xss攻击简易函数 来源 http://www.myexception.cn/php/2216573.html
function xss_clean ($var)
{
$ra=array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/i','/javascript/i','/vbscript/i','/onload/i','/onunload/i','/onchange/i','/onsubmit/i','/onreset/i','/onselect/i','/onblur/i','/onfocus/i','/onabort/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onclick/i','/ondblclick/i','/onmousedown/i','/onmousemove/i','/onmouseout/i','/onmouseover/i','/onmouseup/i','/onunload/i');
$var = preg_replace($ra,'',$var);
return htmlspecialchars($var,ENT_QUOTES);
}
```
交互请求进来POST而不是GET;
设置 HTTP Header: "X-XSS-Protection: 1";
## 2.SQL注入:(SQL Injection)就是通过客户端的输入把 SQL 命令注入到一个应用的数据库中,从而得以执行恶意 SQL 语句。
先看个例子。
```
uname = request.POST['username']
password = request.POST['password']
sql = "SELECT all FROM users WHERE username='" + uname + "' AND password='" + password + "'"
database.execute(sql)
```
上面这段程序直接将客户端传过来的数据写入到数据库。试想一下,如果用户传入的 password 值是: "password’ OR 1=1",那么 sql 语句便会变成:
```
sql = "SELECT all FROM users WHERE username='username' AND password='password' OR 1=1"
```
那么,这句 sql 无论 username 和 password 是什么都会执行,从而将所有用户的信息取出来。
解决方案:
SQL语句预定义,参数绑定,参数传递。避免直接拼接sql形成特殊的语意;
## 3.分布式拒绝服务:DDOS(Distributed Denial of Service),通过大量恶意流量占用带宽和计算资源以达到瘫痪对方网络的目的。
举个简单的例子,老郑家面馆生意红火,突然有一天一群小混混进了点,霸占了座位,只闲聊不点菜,结果坐在店里的人不吃面,想吃面的人进不来,导致老郑无法向正常客户服务。
而 DDoS 攻击就是将多个计算机联合起来一同向目标发起攻击,从而成倍地提高拒绝服务攻击的威力。
除了使用程序模拟大量用户访问被攻击网站,也可以借用上面XSS漏洞,在有漏洞的大流量的网站页面使用自动重定向到目标网站也可以达到攻击的目的。
解决方案:
目前没有完全杜绝的方法,理论上是电脑攻击,达到的效果是拒绝用户服务;那么识别电脑攻击并快速拒绝服务并将攻击IP拉入黑名单以达到减少服务资源占用。另外DDOS攻击也需要大量的成本,流量以及IP资源。
## 4.跨站请求伪造:CSRF(Cross Site Request Forgery),利用网站B在网站A对用户信任的情况下(登录)模拟成用户行为向网站A进行恶意请求。
常见的,恶意请求都是get请求,有利于攻击者将攻击目的直接在参数上体现。
举个例子。网站 A 是一家银行的网站,一个转账接口是 "http://www.bankA.com/transfer?toID=12345678&cash=1000"。toID 表示转账的目标账户,cash 表示转账数目。当然这个接口没法随便调用,只有在已经验证的情况下才能够被调用。
此时,攻击者建立了一个 B 网站,里面放了一段隐藏的代码,用来调用转账的接口。当受害者先成功登录了 A 网站,短时间内不需要再次验证,这个时候又访问了网站 B(任何其他网站都可以,只要访问页面包含恶意链接并诱使用户点击了),B 里面隐藏的恶意代码就能够成功执行。
此时将制定URL参数收款人的ID为攻击者,转账金额为任意攻击者制定;这时网站A程序会以为用户想要向攻击者转账,造成损失。该漏洞结合跨站脚本攻击(XSS)会威力无穷;
试想下,攻击者在漏洞网站B(任意有XSS漏洞的页面,部署恶意的自动跳转),那么任何访问的用户都会执行恶意请求,如果刚好又登录了A网站,那么恶意请求就会生效。
解决方案:(核心原理都是杜绝伪造,保证请求来源可信任)
对敏感接口进行同源比较,即检查标准头部,确认请求是否同源: 检查 source origin 和 target origin,然后比较两个值是否匹配。这样可以保证敏感接口的请求来源是可信任的;
HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下;
对数据提交页面随机生成token,并在提交时验证,保证数据可信任;
# 二、如何保证接口请求安全
- 常见功能
- 第三方授权登录
- 邮件发送
- 简易聊天室
- 获取各国汇率
- PHP获取服务器硬件指标
- 数据上报之
- web开发
- 开发规范
- 前端
- 踩坑
- 将footer固定在底部
- bootstrap
- Metronic
- 用到的jquery插件
- bootstrap-hover-dropdown
- jquery.slimscroll
- jquery.blockui
- bootstrap-switch
- js.cookie
- moment
- bootstrap-daterangepicker
- morris
- raphael
- jquery.waypoints
- jquery.counterup
- select2
- 取值和设置默认值
- vue
- axios
- 浏览器
- 谷歌浏览器
- 谷歌插件
- layui
- layui-表格
- layui-表单
- layui-弹窗
- layui-分页
- 后端
- 操作系统
- linux
- 用户管理
- 文件管理
- 目录管理
- 压缩和解压缩
- 进程查看
- 端口查看
- 开机自启动服务
- 定时任务
- shell脚本
- 杀掉运行超过指定时长指定服务的进程
- 获取服务器使用状态
- bash-shell连接socket
- 自定义快捷命令
- centos-踩坑
- 防火墙
- 软件
- yum
- vim
- screen
- window
- 语言
- PHP
- 配置优化
- 框架
- thinkphp5.1+
- think命令行
- laravel6.+
- 维护模式
- 根据环境读取不同配置
- laravel6.+采坑
- laravel坑位
- 数据库事务
- 任务调度
- 文件权限问题
- 增强框架
- larvel:elastic-search
- 图形验证码
- laravel获取ip
- 函数
- strtotime
- 正则匹配
- 类
- 接口类与抽象类
- 类相关的关键字 - abstract
- 类相关的关键字 - interface
- PHP有关类的调用方式"->"与"::"的区别
- 扩展
- 问题归纳
- json_encode和json_decode
- 字符串的运算
- curl
- 优化php效率
- 数组相加合并与array_merge
- 时区转换
- 不常用特性
- php反射
- 包管理器-composer
- GuzzleHttp
- Python
- Go
- 数据库
- Redis
- 安装
- 本地化-数据备份
- php-redis操作
- Mysql
- mysql-命令集合
- 设置终端可访问
- 数据库设计
- 用户基础信息表
- 踩坑集合
- mysql-2002
- mysql-2054
- 优化策略
- mysql-密码验证插件
- 一些牛逼的sql查询
- topN
- 无限级分类
- Memcache
- MongoDb
- 安装mongo-server
- 安装php-mongodb扩展
- 在laravel中使用mongoDB
- 客户端软件
- Hbase
- Elasticsearch
- elastic-search
- restfulApi操作es
- web服务器
- 1.nginx
- 配置语法规则
- 配置详解
- rewrite规则
- request_filename
- 2.apache
- 功能设计
- 加密解密
- Base64
- 对亚马逊SKU加密
- 兼职项目中的加解密
- 腾讯外包时的加密
- 接口设计
- 接口限流设计
- 分库分表
- 遍历展示文件目录结构
- 时区换算
- 文件切割
- 解析xml字符串
- 项目
- 博客后台管理
- 亚马逊广告API
- 官方指引文档
- 开发人员中心
- 应用商店
- 第三方库
- 申请API邮件记录
- 亚马逊MWS
- 付款报告
- 乱码
- 亚马逊管理库存报告
- 报告
- 商品
- 入库
- 履行
- 出库
- 财务
- 订单
- 异步任务处理
- 集群如何同步代码
- 基本开发流程
- 文档管理
- showdoc
- 运行环境
- 开发环境
- vagrant
- windows上配置安装
- vagrant安装插件缓慢
- 更换ssh默认端口映射
- 设置x-shell密码登录
- 使用市场的box-homestead
- homestead-7: Box 'lc/homestead'
- 常见问题
- 虚拟环境reboot
- 突然无法使用
- phpStudy
- wamp
- 压测性能
- VPN
- vultr
- 凌空图床
- 宝塔
- 自动化部署
- 版本管理软件钩子
- 线上环境-LNMP
- centos7
- nginx
- mysql
- mysql开机自启
- mysql-更换默认端口
- datetime字段类型默认值
- php
- php扩展安装
- redis
- swoole
- gd
- BCMath
- igbinary
- zstd
- 包管理器:composer
- 优化性能
- nodejs
- 更新gcc版本
- 版本控制
- git
- 常用命令
- gitlab
- 版本管理规范
- 使用阿里云创建远程仓库
- git自动化部署
- svn
- 忽略指定文件
- 拉取代码
- 自动化运维
- jekins
- 容器
- 集群
- 架构设计
- 设计原则
- 阅读参考
- 代码规划
- 架构实战
- 服务治理
- 权限控制设计
- 具体设计
- 计划
- 疑问知识点
- 读书笔记
- 高性能Mysql
- TCP-IP详解-卷一:协议
- 思考
- php如何实现并发执行
- 对接调用设计
- 如何在浏览器上实现插件
- 如何设计一个app结合业务告警
- mysql的where查询没有用到索引
- 为啥in查询比循环嵌套sql的查询还要慢
- 使用git来创建属于自己的composer包
- 翻页获取数据的时候又新增了数据
- 安全思路
- 月报
- PHP ?? 和 ?: 的区别
- PHP异步执行
- redis集群的目标是什么
- 大文件数据处理
- 性能瓶颈分析
- 命令行里输出带颜色的字体
- 面试问题合集
- 基础
- 安全
- 算法
- 冒泡排序
- 快速排序
- 二分法查询数组指定成员
- 字符查找匹配
- 令牌桶
- 漏桶
- 计数器
- 代理
- 协议
- http
- 状态码
- tcp
- udp
- Oauth2.0
- 设计模式
- 单例模式
- 适配器模式
- 工厂模式
- 观察者模式
- 流程化
- 地址栏输入网址到返回网页的流程
- 题目收集
- 工具
- rabbitMq
- rabbitMQ用户管理
- 生产者
- 消费者
- 支持TP5.*的think-queue
- 消息丢失
- 消费者报错
- rabbitMQ配置优化
- 磁盘满载导致服务挂掉
- PHP类库
- rabbitMQ踩坑
- navicat
- vscode
- phpstorm
- 激活码
- markdown
- PHP自定义类库
- 工具类
- 领导力
- 任务分配
- 代码组织
- 不要重复
- 避免污染
- 接口定义规范
- 小业务需求
- 获取充值面额组成
- 监控服务器CPU和内存
- shell脚本版本