XSS攻击:
植入脚本
解决办法:
html代码转义 jstl标签 escapeXml 设置为true
CRSF攻击:
控制cookie ,漏洞系统 的链接为http请求 get方式作用,结合XSS可以实现post
解决办法:
cookies 设置HttpOnly;表单中增加token,后台生成;Referer识别(HTTP头)
SQL注入攻击:
or 1=1
解决:
orm框架
文件上传漏洞:
脚本文件
解决:
限制文件大小,上传文件要重新命名,上传者无法猜到上传的路径;很多类型的文件可以根据前几个字节判定什么类型(魔数);图片可以缩放,破坏结构
DDos攻击:
借助公网,将数量庞大的的计算机设备联合起来作为攻击平台,对一个或多个目标发动攻击,从而瘫痪目标主机。(肉鸡)
1.SYNFlood:TCP连接三次握手,第三次服务收不到客户机的ACK,会重试,对应的客户机ip放入等待队列,大量数据占用服务资源。攻击者伪造大量ip,请求server
2.DNS QueryFlood:向被攻击的服务器发送海量的域名解析请求,通常请求解析的域名是随机生成的,大部分不存在,向上请求,造成堆积
3.CC攻击HTTP Flood:控制肉鸡或者大量匿名的http代理,请求网站,加速系统资源消耗
