1.SQL注入------常見的安全性問題。

   解決方案：前端頁面需要校驗使用者的輸入資料（限制使用者輸入的型別、範圍、格式、長度），不能只靠後端去校驗使用者資料。一來可以提高後端處理的效率，二來可以提高後端資料的安全。

                 後端不要動態sql語句，使用儲存過程查詢語句。限制使用者訪問資料庫許可權。後端接受前端的資料時要過濾一些特殊字元（如：“--”等字元）

                 後端如果出現異常的話，要使用自定義錯誤頁，防止使用者通過伺服器預設的錯誤頁面找到伺服器漏洞。

    java版

    安全查詢（引數化查詢）

 //獲取引數，拆分引數
 String custname = request.getParameter("customerName"); 
 String query 
 
= "SELECT account_balance FROM user_data WHERE user_name = ? ";
 
 //建立連線
 PreparedStatement pstmt = connection.prepareStatement( query );
 //將引數格式化
 pstmt.setString( 1, custname); 
 //獲取查詢結果
 ResultSet results = pstmt.executeQuery();

     安全查詢（儲存過程）

//獲取引數
String custname = request.getParameter("customerName"); 
 

try {//呼叫資料庫的儲存過程
     CallableStatement cs = connection.prepareCall("{call sp_getAccountBalance(?)}");
     //將引數格式化
     cs.setString(1, custname);
     //獲取查詢結果
     ResultSet results = cs.executeQuery();         } catch (SQLException se) {            
}

      不安全查詢

 String query = "SELECT account_balance FROM user_data WHERE user_name = " + request.getParameter("customerName");
 //動態查詢，直接拼接字串
 
 
try {
     //建立連線
     Statement statement = connection.createStatement();
     //獲取查詢結果
     ResultSet results = statement.executeQuery( query );
 }

   PS：大多數的網站都是使用預設的錯誤頁面。（不要這樣做，容易暴露站點資訊）

2.XSS攻擊------相對複雜的安全性問題

  攻擊方式：基於DOM的XSS即通過瀏覽器來直接執行js指令碼，無須提交伺服器，從客戶端的程式碼引起的。

                如：其實就是傳送一個合法的地址加自己的指令碼，比如：www.xxx.com/search?wd=<script>...</script>

                      受害者點選的是www.xxx.com/search?wd=<script>...</script>連結，然後受害者的瀏覽網頁就加入這個惡意程式碼。

                儲存XSS攻擊即通過輸入框提交js指令碼或者上傳檔案到伺服器，從網站的資料庫引起的攻擊。

                反射XSS攻擊即通過url提交js指令碼到伺服器，從受害人的請求發起引起的攻擊。

  解決方案：後端輸出頁面的時候需要進行轉換html實體。嚴格過濾使用者輸入。如：<script> 轉義成 <script>

 補充：前端url重定向，比如是採用sso登入模式重定向，容易出現跳轉到其他域。

            比如：www.xxx.com/login?redirect=http://abc.com

  解決方案：後端針對重定向域進行判斷。

            前端檔案上傳，比如是上傳控制元件上傳一些非指定格式的檔案。

            解決方案：前後端針對檔案型別進行判斷。

            前端檔案下載，比如是下載一些資料（doc，excel，mp4）。

            解決方案：後端嚴格控制檔案下載的許可權，限制下載檔案型別，檔案目錄。

 PS：xss攻擊的地方很多，html、css、js都有可能會被注入威脅。

3.CSRF攻擊------比xss攻擊更危險的安全性問題

   攻擊方式：受害者開啟網站A，登陸網站A，網站A儲存一些cookies在本地（沒有關閉瀏覽器），受害者又開啟網站B，網站B儲存一些惡意cookies，並向網站A傳送受害者的請求（網站B利用

受害者攻擊網站A）。受害者開啟網站B，網站B誘使受害者進行網站A的操作。（假官網盜取使用者資料）

   解決方案：驗證 HTTP Referer 欄位，給使用者分配token。

4.SSRF攻擊------變種CSRF攻擊的安全性問題

   攻擊方式：常見於分散式站點或者分散式伺服器。攻擊者能巧妙繞過目標伺服器的防火牆，控制目標內網的伺服器，通過內部伺服器與其他伺服器進行互動，從而進行惡意的修改目標伺服器

                     上的資料。

   解決方案：內部伺服器需要設定認證帳號密碼，切記預設帳號。

                     內部伺服器禁用其他通訊協議，只保留https/http協議。

                     內部防火牆把內部伺服器的ip或者域名加入黑名單，防止內部伺服器濫用傳送請求。

5.DoS攻擊------常見的具有破壞性的安全性問題（如果是分散式攻擊的話就是DDos攻擊）

   攻擊方式：Ping Flood攻擊即利用ping命令不停的傳送的資料包到伺服器。

                     SYN Flood攻擊即利用tcp協議原理，偽造受害者的ip地址，一直保持與伺服器的連線，導致受害者連線伺服器的時候拒絕服務。

   解決方案：設定路由器與交換機的安全配置，即設定防火牆。（涉及到硬體問題我就不多說了，只是提醒一下）

6.DNS快取汙染------常見的網站不可訪問的問題

   攻擊方式：第三方可信賴的域名伺服器快取了一些DNS解析，但被別人製造一些假域名伺服器封包汙染了，指向錯誤網址。

   解決方案：備多個域名伺服器商。

7.ARP欺騙------常見的竊取資料的安全性問題

   攻擊方式：利用ARP欺騙，偽造成閘道器，讓受害者的資料經過攻擊者的電腦，從而抓取別人的使用者資訊。

   解決方案：強烈要求資料必須加密傳輸，啟動https協議。

8.中間人攻擊（會話劫持）-----常見的竊取資料的安全性問題

   攻擊方式：劫持會話cookies，把受害者（A）與受害者（B）之間通訊經過攻擊者的電腦。（常見於線上聊天系統）

   解決方案：使用者進行二次驗證，隨機產生會話ID，會話cookies設定httponly（某些情況下httponly設定無效）。

                  增加http請求頭資訊。判斷是否是真實使用者的請求。

   PS：cookies有兩種。

         會話cookies : 建立會話的cookies，關閉瀏覽器失效。

         永續性cookies : 持久儲存本地的cookies，到期失效。

         cookies也可以進行XSS，CSRF攻擊。（把惡意程式碼存放到cookies裡面）

補充：因為現在大多數的web專案都採用前後端分離的模式開發。前端就通過ajax請求與後臺互動，傳統的sessionid儲存在cookies或者是存放在url是不安全的。所以大多數的web專案

都採用基於token鑑權機制來識別使用者身份。

比如JSON WEB TOKEN驗證機制。

JSON WEB TOKEN（簡稱JWT）是一種基於json，通過http請求頭中Authorization欄位進行前後端身份驗證的規範。此規範靈活性強，效率高，大多數現代web應用都採用這種方法進行身份

驗證。JWT是由三個部分組成，分別頭部、載荷與簽名。

{
  "alg": "HS256",   //訊息認證碼演算法,當然還有其他演算法。    
  "typ": "JWT"       //標記型別
}  //頭部
.  //需要這個.符號  
{
  "jti": "51d84ac1-db31-4c3b-9409-e630ebbb83df", //JWT的Id
  "username": "XXX", //這個不是固定的，可以新增多個自定義欄位
  "sub":"logon", //主題欄位
  "nbf":"1452356445", //JWT接收時間
  "iss": "xdfsdf",  //發行主體欄位
  "exp": "1452349372"  //過期時間欄位
} //載荷  
.  //需要這個.符號 
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)  //簽名

對應生成json字串

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 //頭部
.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ  //載荷
.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c  //簽名

注意：千萬不要依賴 “exp” 欄位來處理token過期失效或者是管理會話狀態。因為這個token是在客戶端，而不在服務端。所以服務端必須儲存token，即使用者登入系統後，

服務端會返回一個token（sessionId+userId）給客戶端，並儲存一個token在快取資料庫（如：redis），客戶端每次請求帶token，服務端獲取token後通過加密演算法生成的字元 ，然後匹配自

存放在快取數據庫的token進行比較。

9.後門 -----常見的軟體漏洞問題

   後門是指一種繞過安全性控制而獲取對程式或系統訪問權的方法。在軟體的開發階段，程式設計師常會在軟體內建立後門以便可以修改程式中的缺陷。如果後門被其他人知道，

或是在釋出軟體之前沒有刪除，那麼它就成了安全隱患。常見於一些熱補丁更新軟體。

   攻擊方式：使用webshell提交惡意的動態網頁到網站伺服器，然後執行惡意的動態頁面（如：www.XXX.xom/惡意頁面.jsp）。

                     使用滲透測試工具，掃描網站服務端開放埠，訪問敏感目錄（上傳，下載，管理後臺頁面）。

   解決方案：所有軟體（配置檔案，伺服器，資料庫等）使用必須採用強密碼，禁止使用弱密碼，禁止使用統一相同帳號與密碼。

                     使用非對稱後門介面（即非對稱加密介面）進行軟體更新，避免對稱後門介面（即對稱加密介面），給服務端程式加殼處理。

                     使用蜜罐技術。

   PS：蜜罐是指一個包含各種漏洞的系統，模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。

          簡單來講，這就是一個調虎離山，欲擒故縱的策略。

10.爬蟲攻擊-----常見的非攻擊性的安全性問題

    網路爬蟲嚴格意義上不是一種web攻擊手段，但卻對伺服器造成一定的傷害，不容忽視這種攻擊。

    攻擊方式：常見於搜尋引擎爬蟲或者一些前端測試工具，如：PhantomJs，puppeteer等，這些工具可以模擬使用者操作，進行網路爬蟲請求。

    解決方案：鑑別請求ip，鑑別請求次數，鑑別請求點選連線，鑑別請求資料格式，比如cookie，Referer等欄位，必要時需要人工時刻監控網站情況，定期要更新前端頁面結構。

    PS：以上方案都不能徹底解決網路爬蟲問題，容易誤傷真實使用者。

總結：當然，還用很多攻擊的手段沒有列出來，原因是不常見，而且已經有點偏向於網路黑客方面，與web開發方面無關。以上問題在web開發中需要值得注意的。

         解決方案只是一般防禦策略，並不能徹底解決這些問題，俗話說得好，道高一尺，魔高一丈。web安全是一個長期值得研究的問題。