安全测试XSS、CSRF、SQL注入、DDoS攻击

• XSS

XSS(Cross Site Script)：跨站脚本攻击。恶意攻击者在网页中嵌入恶意脚本，当用户打开 网页时，脚本程序便开始在客户端的浏览器上执行，以盗取客户端cookies、用户名密码、下载执行木马程序，甚至是获取客户端admin权限等。

例如：输入框提交时，通过特殊字符自动嵌入攻击者脚本

防范措施：
对输入的字符进行HTML转义处理，将其中的“尖括号”，“单引号”，“引号”等特殊字符进行转义编码。

• CSRF
  CSRF(Cross Site Request Forgery)跨站请求伪造。XSS利用的是站点内的新人用户，而CSRF则是通过伪装来自授信任用户的请求来利用授信任的网站。CSRF攻击者盗用了用户的身份，以用户的名义向第三方网站发送恶意请求。比如发邮件，发信息，进行交易转账，甚至盗用你的账号。
  站点A：存在CSR漏洞的网站
  站点B：恶意攻击者
  用户C：受害者

1. 用户C浏览并登陆了授信任网站A
2. 验证通过后，浏览器生成站点的Cookie
3. 用户C未退出A，直接访问站点B
4. 站点B带着步骤2的Cookie信息去访问站点A

CSRF的防御：
1.将cookie设置为HttpOlny
2.增加token
3.通过referer识别

备注：Referer记录该HTTP请求的来源地址。可标记内外媒，用户用户数据统计。

• SQL注入

SQL注入防范
1.使用预编译语句；
2.使用ORM框架；

• DDoS攻击
  DDoS（分布式拒绝服务器攻击），利用合理的客户端请求来占用过多的服务器资源。攻击者借用公共网络，将数量庞大的计算机设备联合起来作为攻击平台，对一个或多个目标进行攻击。

1.SYN Flood
利用TCP协议的三次握手，攻击者伪造大量的IP给服务器发送报文，由于伪造的IP大部分在网络中不存在，占用服务器大量的资源，甚至导致很多服务器请求在等待队列。
2.DNS Query Flood
想被攻击的服务器发送海量的域名解析请求。伪造的ip：port服务器上没有缓冲，向上层DNS服务器上递归查询，直到大量的域名解析超时。
3.CC攻击
基于应用层HTTP协议发起的DDos攻击，也被称为HTTP Flood。攻击者在互联网上搜寻大量匿名的HTTP代理，模拟正常用户给网站发起请求直到该网站拒绝服务为止。大部分网站会通过CDN以及分布式缓存来加快服务器响应，提升网站的吞吐量，而攻击者发送的HTTP请求会有意识的避开缓存，去查询DB，导致拖垮服务器。