安全简明入门指南

的登录信息尚未过期的话，就会损失 10000 元。

简单的防范手段：

(1) 检查 Referer 头字段

这是比较基本的验证方式，通常 HTTP 头中有一个 Referer 字段，它的值应该和请求位置在同一个域下，因此可以通过验证网址是否相同来验证是不是恶意请求，但是有被伪造的可能。

(2) 添加验证 token

现在许多 Web 框架都提供在表单加入由服务器生成的随机验证 CSRF 的代码，可以辅助防止 CSRF 攻击。

4. DoS

DoS 攻击具体可以分为两种形式：带宽消耗型以及资源消耗型，它们都是通过大量合法或伪造的请求大量消耗网络以及硬件资源，以达到瘫痪网络和系统的目的。

带宽消耗型又分为分布式拒绝服务攻击和放大攻击：分布式拒绝服务攻击的特点是利用僵尸网络向受害者的服务器发送大量流量，目的在于占用其带宽。放大攻击和分布式拒绝服务攻击类似，是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸网络通过伪造的源 IP(即攻击目标)向某些存在漏洞的服务器发送请求，服务器在处理请求后向伪造的源 IP 传送应答包，由于这些服务的特殊性导致应答包比请求包更大，因此只使用少量的带宽就可以使服务器器传送大量的响应到目标主机上。

资源消耗型又分为协议分析攻击(SYN Flood)、LAND攻击、CC攻击、僵尸网络攻击，应用程序级洪水攻击(Application level floods)等。

简易的防范手段：

• 防火墙 设定规则阻挡简单攻击
• 交换机 大多交换机都有限制访问的控制功能
• 路由器 大多交换机都有限制访问的控制功能
• 黑洞启动 将请求转发到不存在的位置

5. 文件上传漏洞

许多 web 应用都允许用户把文件上传到服务器，由于我们不知道用户会上传什么类型的文件，如果不加注意的话就会引发很大的问题。

简单的防范手段：

(1) 阻止非法文件上传

• 设定文件名白名单
• 判断文件标头

(2) 阻止非法文件执行

• 存储目录与 Web 应用分离
• 存储目录无执行权限
• 文件重命名
• 图片压缩

(3) 加密安全

6. 加密安全

大多数网站都会提供会员注册的功能，要注意不要将密码的明文存入数据库。要如果你所登陆的网站在你忘记密码时，取回口令的功能会把密码明文发到你的邮箱，那么这个网站十有八九是没有，使用彩虹表就可以破解加密的密码。所以一般会针对不同用户使用随机产生的 salt 字符串加盐只后再进行加密的方式来提高密码的强健性。

（编辑：四平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!