几种常见的网络安全攻击

XSS攻击：跨站脚本攻击。攻击者一般通过script标签对网站注入一些可执行的代码片段，而html没有明确区分代码和数据致使客户端执行了危险代码（可能改数据、删数据、获取数据等），一旦攻击成功就打破了安全护城河，攻击者可以随意进行更加严重的攻击，比如sql注入，劫持，埋点钓鱼等，预防xss攻击的方法是过滤从表单来的数据。

SQL注入：是通过把SQL命令插入到表单提交数据中或输入域名或页面请求的查询字符串，达到欺骗服务器执行恶意的SQL攻击。因此，要对用户输入的内容时刻保持警惕，只有客户端的验证等于没有验证，不要把服务器错误信息暴露给用户。预防措施：对sql语句进行过滤，比如delete update insert select * 或者使用PDO占位符进行转义。

CSRF：跨站请求伪造，攻击者通过各种方法伪造一个请求，模仿用户提交表单，从而达到修改用户信息的作用。助记场景，client访问A站会在client中存有A站对应的cookie，此时，client又访问危险站点B，B站能够通过一些特殊手段要求client请求A站做一些破坏本账号信息的操作或者其他，从而达成攻击。

DDOS流量攻击：攻击者通过漏洞往网页进行病毒木马的注入，一旦中招，服务器就成为肉鸡。最常见的攻击是SYN攻击，它利用tcp协议往服务器发送大量的半连接请求，当半连接队列达到最大值的时候，正常的数据包会被服务器丢弃，服务器丧失正常功能宕机。预防措施有正确设置防火墙，禁止对主机的非开放服务的访问，限制特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问，运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。过滤没必要的服务和端口、定期扫描漏洞进行处理、利用路由器进行防护（路由器死掉后重启一下即可不会影响服务器）或者网路没有瘫痪的情况下，可以查一下攻击来源，然后临时把这些IP过滤一下。