網絡知識掃盲

SQL 注入

經過在用戶可控參數中注入 SQL 語法，破壞原有 SQL 結構，達到編寫程序時意料以外結果的攻擊行爲。其成因能夠歸結爲如下兩個緣由疊加形成的：

1. 程序編寫者在處理應用程序和數據庫交互時，使用字符串拼接的方式構造 SQL 語句

2. 未對用戶可控參數進行足夠的過濾便將參數內容拼接進入到 SQL 語句中

XSS 跨站腳本攻擊

跨站腳本攻擊（Cross Site Scripting），爲不和層疊樣式表（Cascading Style Sheets，CSS）的縮寫混淆，故將跨站腳本攻擊縮寫爲 XSS。惡意攻擊者往 WEB 頁面裏插入惡意 HTML 代碼，當用戶瀏覽該頁之時，嵌入其中 Web 裏面的 HTML 代碼會被執行，從而達到惡意攻擊用戶的特殊目的。

命令執行

當應用須要調用一些外部程序去處理內容的狀況下，就會用到一些執行系統命令的函數。如 PHP 中的 system、exec、shell_exec 等，當用戶能夠控制命令執行函數中的參數時，將能夠注入惡意系統命令到正常命令中，形成命令執行攻擊。這裏仍是主要以 PHP 爲主介紹命令執行漏洞，Java 等應用的細節待補充。

文件包含

若是容許客戶端用戶輸入控制動態包含在服務器端的文件，會致使惡意代碼的執行及敏感信息泄露，主要包括本地文件包含和遠程文件包含兩種形式。

CSRF 跨站請求僞造

跨站請求僞造（Cross-Site Request Forgery，CSRF）是一種使已登陸用戶在不知情的狀況下執行某種動做的攻擊。由於攻擊者看不到僞造請求的響應結果，因此 CSRF 攻擊主要用來執行動做，而非竊取用戶數據。當受害者是一個普通用戶時，CSRF 能夠實如今其不知情的狀況下轉移用戶資金、發送郵件等操做；可是若是受害者是一個具備管理員權限的用戶時 CSRF 則可能威脅到整個 WEB 系統的安全。

**屏蔽敏感詞**F 服務器端請求僞造

**屏蔽敏感詞**F（Server-Side Request Forgery：服務器端請求僞造）是一種由攻擊者構造造成由服務端發起請求的一個安全漏洞。通常狀況下，**屏蔽敏感詞**F 攻擊的目標是從外網沒法訪問的內部系統。

文件上傳

在網站的運營過程當中，不可避免地要對網站的某些頁面或者內容進行更新，這時便須要使用到網站的文件上傳的功能。若是不對被上傳的文件進行限制或者限制被繞過，該功能便有可能會被利用於上傳可執行文件、腳本到服務器上，進而進一步致使服務器淪陷。

點擊劫持

Clickjacking（點擊劫持）是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在 2008 年獨創的。

是一種視覺欺騙手段，在 WEB 端就是 iframe 嵌套一個透明不可見的頁面，讓用戶在不知情的狀況下，點擊攻擊者想要欺騙用戶點擊的位置。

因爲點擊劫持的出現，便出現了反 frame 嵌套的方式，由於點擊劫持須要 iframe 嵌套頁面來攻擊。

下面代碼是最多見的防止 frame 嵌套的例子：

if(top.location!=location)

    top.location=self.location;

VPS 虛擬專用服務器

VPS（Virtual Private Server 虛擬專用服務器）技術，將一部服務器分割成多個虛擬專享服務器的優質服務。實現 VPS 的技術分爲容器技術，和虛擬化技術。在容器或虛擬機中，每一個 VPS 均可分配獨立公網 IP 地址、獨立操做系統、實現不一樣 VPS 間磁盤空間、內存、CPU 資源、進程和系統配置的隔離，爲用戶和應用程序模擬出獨佔使用計算資源的體驗。VPS 能夠像獨立服務器同樣，重裝操做系統，安裝程序，單獨重啓服務器。VPS 爲使用者提供了管理配置的自由，可用於企業虛擬化，也能夠用於 IDC 資源租用。

IDC 資源租用，由 VPS 提供商提供。不一樣 VPS 提供商所使用的硬件 VPS 軟件的差別，及銷售策略的不一樣，VPS 的使用體驗也有較大差別。尤爲是 VPS 提供商超賣，致使實體服務器超負荷時，VPS 性能將受到極大影響。相對來講，容器技術比虛擬機技術硬件使用效率更高，更易於超賣，因此通常來講容器 VPS 的價格都低於虛擬機 VPS 的價格。

條件競爭

條件競爭漏洞是一種服務器端的漏洞，因爲服務器端在處理不一樣用戶的請求時是併發進行的，所以，若是併發處理不當或相關操做邏輯順序設計的不合理時，將會致使此類問題的發生。

XXE

XXE Injection 即 XML External Entity Injection，也就是 XML 外部實體注入攻擊.漏洞是在對非安全的外部實體數據進⾏行處理時引起的安全問題。

在 XML 1.0 標準裏，XML 文檔結構⾥裏定義了實體（entity）這個概念.實體能夠經過預約義在文檔中調用，實體的標識符可訪問本地或遠程內容.若是在這個過程當中引入了「污染」源，在對 XML 文檔處理後則可能致使信息泄漏等安全問題。

XSCH

因爲網站開發者在使用 Flash、Silverlight 等進行開發的過程當中的疏忽，沒有對跨域策略文件（crossdomain.xml）進行正確的配置致使問題產生。 例如：

<cross-domain-policy>

    <allow-access-from domain=「*」/>

</cross-domain-policy>

由於跨域策略文件配置爲 *，也就指任意域的 Flash 均可以與它交互，致使能夠發起請求、獲取數據。

越權（功能級訪問缺失）

越權漏洞是 WEB 應用程序中一種常見的安全漏洞。它的威脅在於一個帳戶便可控制全站用戶數據。固然這些數據僅限於存在漏洞功能對應的數據。越權漏洞的成因主要是由於開發人員在對數據進行增、刪、改、查詢時對客戶端請求的數據過度相信而遺漏了權限的斷定。因此測試越權就是和開發人員拼細心的過程。

敏感信息泄露

敏感信息指不爲公衆所知悉，具備實際和潛在利用價值，丟失、不當使用或未經受權訪問對社會、企業或我的形成危害的信息。包括：我的隱私信息、業務經營信息、財務信息、人事信息、IT 運維信息等。 泄露途徑包括 Github、百度文庫、Google code、網站目錄等。

錯誤的安全配置

Security Misconfiguration：有時候，使用默認的安全配置可能會致使應用程序容易遭受多種攻擊。在已經部署的應用、WEB 服務器、數據庫服務器、操做系統、代碼庫以及全部和應用程序相關的組件中，都應該使用現有的最佳安全配置，這一點相當重要。

WAF

Web 應用防禦系統（也稱：網站應用級入侵防護系統。英文：Web Application Firewall，簡稱：WAF）。利用國際上公認的一種說法：WEB 應用防火牆是經過執行一系列針對 HTTP/HTTPS 的安全策略來專門爲 WEB 應用提供保護的一款產品。

IDS

IDS 是英文 Intrusion Detection Systems 的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照必定的安全策略，經過軟、硬件，對網絡、系統的運行情況進行監視，儘量發現各類攻擊企圖、攻擊行爲或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。作一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼 IDS 就是這幢大樓裏的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行爲，只有實時監視系統才能發現狀況併發出警告。

IPS

入侵防護系統（IPS：Intrusion Prevention System）是電腦網絡安全設施，是對防病毒軟件（Antivirus Programs）和防火牆（Packet Filter，Application Gateway）的補充。入侵預防系統（Intrusion-prevention system）是一部可以監視網絡或網絡設備的網絡資料傳輸行爲的計算機網絡安全設備，可以即時的中斷、調整或隔離一些不正常或是具備傷害性的網絡資料傳輸行爲。