前端之安全部分

XSS

跨站（域）腳本攻擊，攻擊者在web頁面插入惡意script代碼，當使用者在浏覽該頁時，被嵌入的script代碼自動執行，進而達到惡意攻擊使用者的目的。

分為存儲型（會将使用者輸入的資料資訊存儲在伺服器端，有很強的穩定性）與反射型（需要使用者點選一個連結才能攻擊成功，隻是簡單地将使用者輸入的資料資訊反射給浏覽器，非持久型）。

常表現為打背景（請求資訊發送到服務端，背景未做處理會直接執行腳本）或釣魚url

CSRF

跨站請求僞造，利用一個看起來正常的連結（a.com/a.html），暗中發送一個指向關于财産的（b.com/tran）的post請求，進而實作惡意攻擊使用者，前提是用戶端必須一個網站生成cookie憑證存儲在浏覽器中，且該cookie未清除，用戶端又tab一個頁面進行通路。

防禦：

• 驗證碼（并不是所有操作都要加驗證碼，可能會導緻使用者體驗不好）；

• 驗證Http Referer字段（檢查referer來源，隻有自己域名下的才能通過，缺陷伺服器并非什麼時候都可以取到referer，如

  https）；

• anti CSRF Token（使用cookie值加密，Token生成一定要随機）

DDOS

分布式拒絕服務攻擊，利用“”僵屍網絡“（數量龐大的僵屍程式通過一定方式組合，采用一對多的方式控制大型網絡，控制者釋出指令後，斷開與僵屍網絡的連接配接，控制指令會自動在僵屍程式間傳播執行）控制多台計算機裝置攻擊一個站點，使正常請求無法通路該站點，攻擊流量較大時，該伺服器會挂掉。

主要攻擊方法：

• 攻擊帶寬（當網絡資料包的數量達到或超過上限時，會出現網絡擁堵、響應緩慢的情況，利用該原理，使用反射攻擊（源IP位址被僞造成攻擊目标的IP）發送大量資料包來占滿被攻擊目标的帶寬，造成正常請求失效，達到拒絕）；

• 攻擊系統（TCP三向交握資訊會存儲在連接配接表中，但表的大小有限，超過存儲容量時，無法建立新的TCP連接配接。建立大量惡意TCP連接配接或發送大量TCP

  SYN封包（伺服器在短時間内産生大量半開連接配接）占滿連接配接表，使得無法

  建立新的TCP連接配接，後者為SYN洪水攻擊）；

• 攻擊應用（向DNS伺服器發送大量查詢請求（若每個DNS解析請求所查詢的域名不同，可有效避開伺服器緩存的解析記錄，達到更好的資源消耗）或不斷向WEB伺服器發送大量HTTP請求（要求WEB伺服器處理，會完全占用服

  務器資源）來達到拒絕伺服器）；

• 混合攻擊（UDP及反射式大流量高速攻擊，多協定及小流量慢速攻擊）

  防禦：設定高性能裝置、保證帶寬、及時更新、異常流量清洗、分布式叢集防禦等。

  剛開始學習，如有說的不對或不完善的，請指正！