一、dos攻擊
向服務器發送數量龐大的合法數據,讓服務器分不清是不是正常請求,導致服務器接收所有的請求。海量的數據請求會使得服務器停止服務和拒絕服務。
防禦:阿里云或其它資源服務器有專門web應用防火墻
自己的服務器需要相關的設置
二、sql注入攻擊
向web連接的數據發送惡意的sql'語句,使得用戶逃過驗證和私密信息洩露。
防禦: 過濾表單,驗證表單的合法性,對表單數據進行轉義處理;
盡量縮小用戶權限
使用參數查詢接口,不要直接拼接sql語句(T-SQL:SQL 程序设计语言的增强版,它是用来让应用程式与 SQL Server 沟通的主要语言。)
三、跨站請求偽造(CSRF)
通過設置陷阱,使得已經完成驗證的用戶強制修改信息或者設定信息。 就是用戶盜用了你的用戶信息,使用你的信息發送請求。
防禦:敏感驗證使用驗證碼
使用token
驗證http Referer字段
在請求中增加token驗證
在http頭部自定義token并驗證。
四、xss(跨站腳本攻擊)
通過完成註冊的網站用戶的瀏覽器內運行非法的html和javascript腳本,從而達到攻擊的目的。
防禦:對敏感信息使用httponly,使得cookie信息不被盜取
對用戶輸入信息要進行轉義springEscapeutils
五、上傳漏洞
攻擊者將腳本文件冒充image文件上傳,從而進行攻擊
防禦:限制文件類型
採用第三方託管
https://baijiahao.baidu.com/s?id=1570688166426810&wfr=spider&for=pc
https://blog.csdn.net/zyw_anquan/article/details/22178821
https://blog.csdn.net/m18633778874/article/details/78946852
https://blog.csdn.net/lyw_lyw/article/details/79566642
https://www.cnblogs.com/Echoer/p/4781664.html
https://blog.csdn.net/lidiya007/article/details/52875712
https://www.cnblogs.com/Miss-mickey/p/6636813.html?utm_source=tuicool&utm_medium=referral
https://jingyan.baidu.com/article/54b6b9c0a5d1d22d583b4700.html
https://blog.csdn.net/imhxl/article/details/52775512
https://blog.csdn.net/shenqueying/article/details/79426884