常見的Web安全攻防知識點總結，你知道多少？

　　眾所周知，網路安全無論對企業還是對個人，都起著至關重要的作用，因此強化網路安全意識、提高風險防範能力是我們每個人的責任與義務，小編今天總結一下Web相關的安全攻防知識，希望對你有幫助，請看下文：

　　| XSS |

　　最常見的就是XSS漏洞了，也可以被稱為跨站指令碼攻擊，原理是惡意攻擊者往Web頁面裡插入惡意可執行網頁尾本程式碼，當使用者瀏覽該頁之時，嵌入其中Web裡面的指令碼程式碼會被執行，從而可以達到攻擊者盜取使用者資訊或其他侵犯使用者安全隱私的目的。

　　XSS的攻擊方式千變萬化，但還是可以大致細分為X種型別：非持久型XSS、持久型XSS。

　　| CSRF |

　　中文名稱為：跨站請求偽造攻擊，可以簡單理解：攻擊者可以盜用你的登陸資訊，以你的身份模擬傳送各種請求。攻擊者只要藉助少許的社會工程學的詭計，例如透過QQ等聊天軟體傳送的連結(有些還偽裝成短域名，使用者無法分辨)，攻擊者就能迫使 Web 應用的使用者去執行攻擊者預設的操作。

　　所以遇到CSRF攻擊時，將對終端使用者的資料和操作指令構成嚴重的威脅。當受攻擊的終端使用者具有管理員帳戶的時候，CSRF攻擊將危及整個 Web應用程式。

　　| SQL隱碼攻擊 |

　　是Web開發中最常見的一種安全漏洞。可以用它來從資料庫獲取敏感資訊，或者利用資料庫的特性執行新增使用者，匯出檔案等一系列惡意操作，甚至有可能獲取資料庫乃至系統使用者最高許可權。

　　而造成SQL隱碼攻擊的原因是因為程式沒有有效的轉義過濾使用者的輸入，使攻擊者成功的向伺服器提交惡意的SQL查詢程式碼，程式在接收後錯誤的將攻擊者的輸入作為查詢語句的一部分執行，導致原始的查詢邏輯被改變，額外的執行了攻擊者精心構造的惡意程式碼。

　　| 命令列注入 |

　　命令列注入漏洞，指的是攻擊者能夠透過HTTP請求直接侵入主機，執行攻擊者預設的shell命令，聽起來好像匪夷所思，這往往是Web開發者最容易忽視但是卻是最危險的一個漏洞之一，

　　| DDoS攻擊 |

　　又叫分散式拒絕服務，其原理就是利用大量的請求造成資源過載，導致服務不可用，這個攻擊應該不能算是安全問題，這應該算是一個另類的存在，因為這種攻擊根本就是耍流氓的存在。

　　| DNS劫持 |

　　也叫做域名劫持，DNS的作用是把網路地址域名對應到真實的計算機能夠識別的IP地址，以便計算機能夠進一步通訊，傳遞網址和內容等。如果當使用者透過某一個域名訪問一個站點的時候，被篡改的DNS伺服器返回的是一個惡意的釣魚站點的IP，使用者就被劫持到了惡意釣魚站點，然後繼而會被釣魚輸入各種賬號密碼資訊，洩漏隱私。