常见的web攻击手段总结

xxs攻击（跨站脚本攻击）

　　攻击者在网页中嵌入恶意脚本程序，当用户打开该网页时脚本程序便在浏览器上执行，盗取客户端的cookie、用户名密码、下载执行病毒木马程 序

解决：

　　我们可以对用户输入的数据进行HTML转义处理，将其中的尖括号、单引号、引号之类的特殊字符进行编码

Csrf攻击（跨站请求攻击）

　　跨站请求伪造，实际上是攻击者盗用用户的身份然后以用户的名义向第三方网站发送恶意请求，Csrf会利用你的身份发送邮件、发送短信进行交易转账等，甚至盗用你的账号

解决：

1、  在cookie中设置HttpOnly属性这样javascript等脚本就无法读到cookie的信息避免了攻击者伪造cookie的情况出现

2、  增加token系统可以在http请求中以参数的形式加入一个随机产生的token并在服务器进行token的验证，如果请求中没有token或者token不正确则认为是CSRF攻击拒绝请求

Post提交可以在post表单中增加一个隐藏域放入token的值

3、  根据Http协议，在http头中有一个字段教referer，它记录了http请求的来源地址，判断这个值如果请求合法的，否则拒绝该请求

sql注入：（sql命令伪造成正常的http请求参数，传递到服务器欺骗服务器最终执行恶意的sql命令）

解决：

　　对sql语句进行PDO预处理

　　addslashes（）php自带的可以 转义sql语句

文件上传漏洞

　　站点没有对文件类型做好的验证导致上传了一些可执行文件以及恶意脚本

解决：

　　文件类型进行判断

　　文件头进行判断FileType

Dos攻击　

首先攻击者向被攻击的服务器发送大量的虚假IP请求，被攻击者在收到请求后返回确认信息，等待攻击者进行确认，（此处需要拥有HTTP协议工作方式和TCP三次握手的基本知识）该过程需要TCP的三次握手，由于攻击者发送的请求信息是虚假的，所以服务器接收不到返回的确认信息，在一段时间内服务器会处与等待状态，而分配给这次请求的资源却被有被释放。当被攻击者等待一定的时间后，会因连接超时而断开，这时攻击者在次发送新的虚假信息请求，这样最终服务器资源被耗尽，直到瘫痪。
DDos攻击

中文名称是分布式拒绝服务攻击。指的是攻击者控制多台主机同时向同一主机或网络发起DOS攻击。

解决：

　　对发送请求的ip进行验证，防治恶意访问