常见的Web应用攻击手段
1.XSS攻击
XSS攻击即跨站点脚本攻击（Cross Site Script），指黑客通过篡改网页，注入恶意HTML脚本，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式。
分类


1.1 反射型
攻击者诱使用户点击一个嵌入恶意脚本的链接，达到攻击的目的


1.2 持久型
黑客提交含有恶意脚本的请求，保存在被攻击的Web站点的数据库中，用户浏览网页时，恶意脚本被包含在正常页面中，达到攻击的目的


防护手段


1.3消毒
XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的，这些脚本是一般用户输入中不使用的，如果进行过滤和消毒处理，即对某些html危险字符转义就可以让绝大部分攻击失败


1.4HttpOnly
浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie，可以防止Cookie中的数据被窃取


2.注入攻击
分类


2.1 SQL注入攻击
攻击者在HTTP请求中注入恶意SQL命令（drop table users;），服务器用请求参数构造数据库SQL命令时，恶意SQL被一起构造，并在数据库中执行。


2.2 OS注入攻击


防护手段


2.3 消毒
通过正则匹配，过滤请求数据中可能注入的SQL


2.4 参数绑定
使用预编译手段，绑定参数是最好的防SQL注入方法。目前许多数据访问层框架，如IBatis，Hibernate等，都实现SQL预编译和参数绑定，攻击者的恶意SQL会被当做SQL的参数，而不是SQL命令被执行。


3.CSRF攻击
攻击者通过跨站请求，以合法用户的身份进行非法操作，如转账交易、发表评论等；

CSRF的主要手法是利用跨站请求，在用户不知情的情况下，以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略，盗取用户身份。
防护手段


3.1 Token验证
通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数：在页面表单中增加一个随机数作为Token，每次响应页面的Token都不相同，从正常页面提交的请求会包含该Token值，而伪造的请求无法获得该值，服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法


3.2 验证码
验证码则更加简单有效；

请求提交时，需要用户输入验证码，以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验，所以请在必要时使用，


3.3 Referer check
HTTP请求头的Referer域中记录着请求来源，可通过检查请求来源，验证其是否合法。

                                                    
Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术 角度都应该称为Web IPS，而不是Web应用防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火 墙。
 
Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。
 
Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF 提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化，为WAF制定一个规范的评价标准显得重要起来，有了这个标准，我们就可以去准确地比较和评价WAF产品。
 
Imperva公司的WAF产品在提供入侵防护的同时，还提供了另外一个安全防护技术，就是对Web应用网页的自动学习功能，由于不同的网站不可能 一样，所以网站自身页面的特性没有办法提前定义，所以imperva采用设备自动预学习方式，从而总结出本网站的页面的特点。具体的做法是这样的：
 
通过一段时间的用户访问，WAF记录了常用网页的访问模式，如一个网页中有几个输入点，输入的是什么类型的内容，通常情况的长度是多少…学习完毕 后，定义出一个网页的正常使用模式，当今后有用户突破了这个模式，如一般的帐号输入不应该有特殊字符，而XML注入时需要有“<”之类的语言标 记，WAF就会根据你预先定义的方式预警或阻断;再如密码长度一般不超过20位，在SQL注入时加入代码会很长，同样突破了网页访问的模式。
 
网页自学习技术，从Web服务自身的业务特定角度入手，不符合我的常规就是异常的，也是入侵检测技术的一种，比起单纯的Web防火墙来，不仅给入侵者“下通缉令”，而且建立进入自家的内部“规矩”，这一种双向的控制，显然比单向的要好。
 
Citrix公司收购了Teros后，推出的应用防火墙通过分析双向流量来学习Web服务的用户行为模式，建立了若干用户行为模型，一但匹配上你是 某个行为，就按该模式行为去衡量你的行为做法，有“越轨”企图立即给予阻断。这个自适应学习引擎与Imperva公司的网页自学习有些类似，不过一个重点 是学习网页特点，一个是学习用户访问的规律。
 
从安全角度来说，网业自学习技术与入侵防护结合使用，是理想的选择。
                                                    
转载于:https://my.oschina.net/u/3778497/blog/1840957

 随着互联网技术的不断发展，大量信息获取变得容易，这也给互联网架构安全带来了严重的挑战。对于常见的web攻击手段主要有XSS、CRSF、SQL注入等。下面本文将介绍常见的攻击手段极其防护方法。


1.XSS 

XSS攻击全称为夸张脚本攻击，是web应用中常见的攻击手段。XSS攻击是指攻击者在网页中嵌入恶意脚本程序，当用户打开网页时脚本就开始在浏览器中执行并作为危害用户计算机盗取用户信息的行为。 

1.1XSS攻击原理 

假设页面上有个表单，表单名为nick用来向服务器提交用户信息：



<input type="text" name="nick" value="xiaoming"/>

表单的nick来自用户输入，如果当用户输入的不是一个正常字符而是 

“/>“时由于服务器校验不通过服务器重定向返回这个页面并且带上之前的输入参数，此时页面内容变成面下。

<input type="text" name="nick" value=""/><script>alert("hahh")</script>""/>

在输入框后面带上一段javascript脚本，虽然这个脚本不会做出什么恶意行为只是弹出一个haha窗口，

1，XSS攻击
XSS攻击全称是跨站脚本语言攻击，是Web应用程序中最常见的攻击手段，跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序，当用户打开该程序时盗取用户的cookie，密码以及相关用户资料。
防范措施，因为用户的输入数据都变成了代码，所以我们需要将用户的输入数据进行相关转义处理，现在可以使用jstl，structs等的标签进行转义。
如：<c:out value="${nick}" escapeXml="true"></c:out>只需要将escapeXml修改为true就可以将html代码中的变量进行转义处理。


2，CRSF攻击
CRSF攻击的全称是跨站请求伪造，是一种对网站的恶意利用，伪造合法用户的身份进行攻击。一般来讲CSRF是伪装来自受信任用户的请求来利用受信任的网站，并向第三方网站发送恶意请求。包括利用你的身份发送邮件，发送即时消息，银行转账等。
防范措施：
1），将cookie设置为HttpOnly
2），增加token
3），通过Referer识别。
未完待续。。。。。。。。。。