web安全威脅以及防護

1、跨站腳本攻擊（XSS）

      定義：

      XSS又叫CSS (Cross Site Script) 。最危險和最多見的安全漏洞之一，這個漏洞是一般用於執行cookie竊取、惡意軟件傳播,會話劫持,惡意重定向。

     分爲三種類型：

     1，非持久性XSS。劫持連接。最經常使用，使用最廣。帶有惡意腳本代碼參數的URL被HTML解析、執行。它的特色是非持久化，必須用戶點擊帶有特定參數的連接才能引發。

     2，持久性XSS（存儲性）。指的是惡意腳本代碼被存儲進被攻擊的數據庫。這種攻擊類型一般在留言板等地方出現。

     3，基於 DOM 的 XSS。也稱爲」type-0 XSS」。它發生時， XSS 變量執行由 DOM 修改用戶的瀏覽器網頁的結果。在客戶端的 HTTP 響應不會更改，但以惡意的方式執行的腳本。這這是最早進和最知名的type-0 XSS。大多數狀況下，這個漏洞之因此存在是由於開發商不瞭解它是如何工做。

     預防：

      1，過濾 HTML 標記。例如URL、HTTP引用對象、從表單中獲取參數、表單 POST 的參數、window.location、document.referrer、document.location、document.url、document.urlunencoded。經過HtmlEncode()方法編碼html。

      2，過濾編碼特殊字符。例如且、單引號、雙引號、下劃線； &過濾爲&amp;   <過濾爲 &lt;    > 過濾爲 &gt;   」 過濾爲 &quot;   ‘ 過濾爲&#x27;   /過濾爲&#x2F;

      3，過濾主要的數據。例如cookie數據、標題數據、數據庫中的數據。

    經常使用的工具類庫

      1，AntiXSS，由微軟推出的用於防止XSS攻擊的一個類庫。它的實現原理也是使用白名單機制。AntiXss.GetSafeHtmlFragment(html)方法，這個方法會替換掉html裏的危險字符 

2、DDOS攻擊

3、SQL注入攻擊

      定義

      經過提交精心構造的SQL語句，竊取數據庫數據或者修改破壞數據庫。其方式隱蔽，不易察覺。

      預防

       1，利用SqlCommand傳參數。

       2，過濾關鍵字，禁止運行法。

       

  3，存儲過程

4、網頁掛馬攻擊

 

代碼開發階段要從兩方面入手，其一是開發項目要制定編碼規範，尤爲要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統開發結束後，利用商用Web程序安全性評估軟件或者評估服務對Web系統的安全性進行測試評估。