常见的WEB攻击以及解决方法

　　事实上，WEB应用是很脆弱的。因为这种应用的灵活性很大，用户输入的自由度也很高，所以对于WEB应用的恶意攻击也比较容易。
　　小编收集了一些常见的WEB攻击，和部分解决方案，欢迎阅读！
　　1. SQL注入(SQL Injection)
　　对于固定的SQL语句，一般在应用程序层不做处理，推荐添加一个包装类，把这些固定的SQL操作控制起来。
　　而对于动态生成的SQL语句，就需要对用户的输入进行处理，一般的处理是把【'】转换成【“】 。
　　如：
　　abc”def”ghi’jkl’mno →abc”def”ghi’’jkl’’mno
　　2. 跨站点脚本攻击(XSS，Cross Site Scripting)
　　如果用户输入，URL参数在页面上表示时，必须对特殊文字进行过滤处理。
　　2-1 如果用户输入和URL参数中含有下列敏感文字，则删除 之：
　　Script Object Embed Applet
　　2-2 如果用户输入和URL参数中含有下列敏感文字，则转换 之：
　　& → &
　　< → <
　　> → >
　　“ → "
　　‘ → '
　　3. 操作系统命令注入(OS Command Injection)
　　要尽量避免执行系统命令，如果非使用不可的话，要对以下的用户输入或者参数做处理：
　　| ! & ` 命令执行总要使用的字符
　　“ ‘ 字符串的区分字符
　　/ - 命令参数指定时使用的字符
　　“. / ¥ 目录指定时使用的字符
　　< > 文件操作是使用的字符
　　$ 环境变量指定时使用的字符
　　( { [ ] } ) 命令间的区分字符
　　4. 换行字符注入(Line Feed Code Injection)
　　在用户的输入信息中，检查是否不包含【0x0d】【0x0a】 这种换行的输入。
　　5. LDAP注入(LDAP Injection)
　　在LDAP使用的场合，要检查用户输入信息中，是否不包含下列LDAP的保留字：
　　( ) * ¥ NULL
　　6. Xpath注入(XPath Injection)
　　在XPath使用的场合，要检查用户输入信息中，是否不包含下列Xpath的保留字：
　　< > “ ‘ &
　　7. SSI注入(SSI Injection)
　　检查用户输入中，是否不包含SSI相关的危险关键字。
　　8. 目录遍历(Directory Traversal)
　　检查用户输入中，是否不包含访问文件系统的特殊文字【/】 和【\】 。
　　9. 强制浏览(Forced Browsing)
　　这种攻击的防止比较复杂，一般的策略是：
　　验证请求是否是从合法的页面发送而来的，一般是检查请求的Referer。
　　用户授权控制，认证认可
　　对于静态资源来说，WEB程序是无法防止这种强制浏览攻击的，只有通过设置中间件(如WEB服务器)来防止：
　　对公开化网站目录的设定(比如在站点目录下禁止显示文件列表)
　　在URL中指定目录的时候，必须提供index文件(如index.html等)
　　对于下载文件的存放位置，要特别谨慎的设置
　　10. 跨站点请求伪装(Cross Site Request Forgery)
　　明确页面的操作流程，对于不符合操作流程而来的请求进行过滤。
　　11. 不正确的文件和目录分配(Invalid Allocation of Files and Directories)
　　不公开的配置文件，备份文件，数据文件等，不要在站点的公共目录(WebRoot或者www/htdocs)下存放
　　WEB应用程序使用的库文件，不要再站点的公共目录下存放。
　　适合在公共目录下存放的资源如下所示：
　　/var/www/htdocs/
　　Img/
　　css/
　　data/
　　index.html
　　12. 不正确的错误处理(Invalid Error Handling)
　　一定要进行错误处理，错误处理的消息要显示为用户可理解的内容，不要把中间件(WEB服务器)的错误消息显示出来。
　　13. 不必要的信息(Unnecessary Information)
　　比如在用户登陆时，提示的这样的错误信息【用户密码不正确】，从侧面就说明了系统中存在一个叫做【userid】的用户。这就为恶意攻击者提供了情报。
　　所以，在处理系统显示的消息是，点到为止，不能暴露多余的用户细节。
　　14. 后门和调试选项(Backdoor & Debug Option)
　　避免特殊的密码输入和认证策略
　　指定调试选项是，调试选项和程序的参数都可以改变和查看
　　要做出测试专用的页面
　　对于程序后门，可以通过代码复查力度强化来进行防止。
　　而对于调试选择，要统一开发标准，使用统一的调试开关。
　　15. 客户端注释(Client Side Comment)
　　对于WEB应用来说，客户端可以通过浏览器直接看到页面的代码。发送到浏览器的代码中，可以开发者的注释。对于恶意攻击者来说，这些注释信息会暴露出WEB应用的很多细节。
　　比如说下面所说的注释就应该引起关注：
　　对于请求参数的注释
　　javascript的内部逻辑的注释
　　注释外的javascript内部逻辑和URL请求
　　对应策略如下：
　　对于代码的注释，事先要有统一的代码规范
　　尽量使用服务器端得注释标签，如JSP的【<%-- --%>】，这样的注释内容不会发送到客户端。
　　16. 缓冲区溢出(Buffer Over Flow)
　　如果用户输入中包含了超过服务器缓冲区大小的输入，很可能会导致服务器存储不足，甚至导致服务器停机。
　　对策如下：
　　一定要检查用户输入的大小
　　文件上传是，对于上传文件的大小进行检查和限制。