WEB網站常見攻擊

 1. header name和value中出現CRLF字符

在header中嵌入CRLF（回車換行）字符是一種常見的攻擊手段。攻擊者嵌入CRLF之後，使服務器對HTTP請求發生錯誤判斷，從而執行攻擊者的惡意代碼。事實上，如今的servlet引擎如tomcat已經能夠防護這種攻擊。

2. status message嵌入惡意代碼

 一般status message會被顯示在HTML頁面中。攻擊者能夠利用這一點在頁面中嵌入惡意代碼。將status message以HTML entity編碼重寫之後，就能夠避免這個問題。

3. cookie過大

過大的cookie可能使WEB服務器拒絕響應請求。攻擊者一樣能夠
利用這一點使用戶沒法正常訪問網站。限制cookie的總大小能夠部分地解決這種危機。

4. XSS攻擊(跨站腳本攻擊)

惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。好比這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞因爲被駭客用來編寫危害性更大的phishing攻擊而變得廣爲人知。對於跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的「緩衝區溢出攻擊「，而JavaScript是新型的「ShellCode」。

5.CSRF攻擊（跨站請求僞造）

攻擊者經過各類方法僞造一個請求，模仿用戶提交表單的行爲，從而達到修改用戶的數據，或者執行特定任務的目的。爲了假冒用戶的身份，CSRF攻擊經常和XSS攻擊配合起來作，但也能夠經過其它手段，例如誘使用戶點擊一個包含攻擊的連接。

解決方案：

1，經過CSRF token，能夠確保該請求確實是用戶本人填寫表單並提交的，而不是第三者僞造的，從而避免CSRF攻擊。CSRF token驗證器是用來確保表單中包含了CSRF token。
2，執行重要業務以前，要求用戶提交額外的信息。要求用戶在進行重要業務前輸入口令，這能夠防止黑客發動CSRF攻擊（只要瀏覽器中沒有包含口令），由於這種重要信息沒法預測或輕易得到。
3，使用祕密的沒法預測的驗證符號。當保存在用戶瀏覽器中的cookie僅由一次會話確認時，CSRF攻擊纔會有效。因此在每次HTTP請求（固然攻擊者沒法提早知道）中都有附加的特定會話的信息，這樣就能夠挫敗CSRF攻擊。不過，若是這種應用程序存在跨站腳本漏洞，黑客就有可能訪問這種驗證符號。
4，使用定製的HTTP報頭。若是執行交易的全部請求都使用XMLHttpRequest並附加一個定製的HTTP報頭，同時拒絕缺乏定製報頭的任何請求，就能夠用XMLHttpRequest API來防護CSRF攻擊。因爲瀏覽器一般僅准許站點將定製的HTTP報頭髮送給相同站點，從而了防止由CSRF攻擊的源站點所發起的交易。
5，檢查訪問源的報頭。在瀏覽者發送HTTP請求時，它一般會包含源自訪問源報頭的URL。理論上講，你可使用這些信息來阻止源自其它任何站點（而不是來自Web應用程序自身）的請求。不過，訪問源報頭並不老是可用的，（例如，有些單位因爲私密性的緣故而將它剝離了），或者這個報頭容易被欺騙，因此說，這條措施並不真正有效。

6. SQL注入

就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令