网络知识扫盲

SQL 注入

经过在用户可控参数中注入 SQL 语法，破坏原有 SQL 结构，达到编写程序时意料以外结果的攻击行为。其成因能够归结为如下两个缘由叠加形成的：

1. 程序编写者在处理应用程序和数据库交互时，使用字符串拼接的方式构造 SQL 语句

2. 未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中

XSS 跨站脚本攻击

跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。

命令执行

当应用须要调用一些外部程序去处理内容的状况下，就会用到一些执行系统命令的函数。如 PHP 中的 system、exec、shell_exec 等，当用户能够控制命令执行函数中的参数时，将能够注入恶意系统命令到正常命令中，形成命令执行攻击。这里仍是主要以 PHP 为主介绍命令执行漏洞，Java 等应用的细节待补充。

文件包含

若是容许客户端用户输入控制动态包含在服务器端的文件，会致使恶意代码的执行及敏感信息泄露，主要包括本地文件包含和远程文件包含两种形式。

CSRF 跨站请求伪造

跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种使已登陆用户在不知情的状况下执行某种动做的攻击。由于攻击者看不到伪造请求的响应结果，因此 CSRF 攻击主要用来执行动做，而非窃取用户数据。当受害者是一个普通用户时，CSRF 能够实如今其不知情的状况下转移用户资金、发送邮件等操做；可是若是受害者是一个具备管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。

**屏蔽敏感词**F 服务器端请求伪造

**屏蔽敏感词**F（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击者构造造成由服务端发起请求的一个安全漏洞。通常状况下，**屏蔽敏感词**F 攻击的目标是从外网没法访问的内部系统。

文件上传

在网站的运营过程当中，不可避免地要对网站的某些页面或者内容进行更新，这时便须要使用到网站的文件上传的功能。若是不对被上传的文件进行限制或者限制被绕过，该功能便有可能会被利用于上传可执行文件、脚本到服务器上，进而进一步致使服务器沦陷。

点击劫持

Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在 2008 年独创的。

是一种视觉欺骗手段，在 WEB 端就是 iframe 嵌套一个透明不可见的页面，让用户在不知情的状况下，点击攻击者想要欺骗用户点击的位置。

因为点击劫持的出现，便出现了反 frame 嵌套的方式，由于点击劫持须要 iframe 嵌套页面来攻击。

下面代码是最多见的防止 frame 嵌套的例子：

if(top.location!=location)

    top.location=self.location;

VPS 虚拟专用服务器

VPS（Virtual Private Server 虚拟专用服务器）技术，将一部服务器分割成多个虚拟专享服务器的优质服务。实现 VPS 的技术分为容器技术，和虚拟化技术。在容器或虚拟机中，每一个 VPS 均可分配独立公网 IP 地址、独立操做系统、实现不一样 VPS 间磁盘空间、内存、CPU 资源、进程和系统配置的隔离，为用户和应用程序模拟出独占使用计算资源的体验。VPS 能够像独立服务器同样，重装操做系统，安装程序，单独重启服务器。VPS 为使用者提供了管理配置的自由，可用于企业虚拟化，也能够用于 IDC 资源租用。

IDC 资源租用，由 VPS 提供商提供。不一样 VPS 提供商所使用的硬件 VPS 软件的差别，及销售策略的不一样，VPS 的使用体验也有较大差别。尤为是 VPS 提供商超卖，致使实体服务器超负荷时，VPS 性能将受到极大影响。相对来讲，容器技术比虚拟机技术硬件使用效率更高，更易于超卖，因此通常来讲容器 VPS 的价格都低于虚拟机 VPS 的价格。

条件竞争

条件竞争漏洞是一种服务器端的漏洞，因为服务器端在处理不一样用户的请求时是并发进行的，所以，若是并发处理不当或相关操做逻辑顺序设计的不合理时，将会致使此类问题的发生。

XXE

XXE Injection 即 XML External Entity Injection，也就是 XML 外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引起的安全问题。

在 XML 1.0 标准里，XML 文档结构⾥里定义了实体（entity）这个概念.实体能够经过预约义在文档中调用，实体的标识符可访问本地或远程内容.若是在这个过程当中引入了「污染」源，在对 XML 文档处理后则可能致使信息泄漏等安全问题。

XSCH

因为网站开发者在使用 Flash、Silverlight 等进行开发的过程当中的疏忽，没有对跨域策略文件（crossdomain.xml）进行正确的配置致使问题产生。 例如：

<cross-domain-policy>

    <allow-access-from domain=“*”/>

</cross-domain-policy>

由于跨域策略文件配置为 *，也就指任意域的 Flash 均可以与它交互，致使能够发起请求、获取数据。

越权（功能级访问缺失）

越权漏洞是 WEB 应用程序中一种常见的安全漏洞。它的威胁在于一个帐户便可控制全站用户数据。固然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是由于开发人员在对数据进行增、删、改、查询时对客户端请求的数据过度相信而遗漏了权限的断定。因此测试越权就是和开发人员拼细心的过程。

敏感信息泄露

敏感信息指不为公众所知悉，具备实际和潜在利用价值，丢失、不当使用或未经受权访问对社会、企业或我的形成危害的信息。包括：我的隐私信息、业务经营信息、财务信息、人事信息、IT 运维信息等。 泄露途径包括 Github、百度文库、Google code、网站目录等。

错误的安全配置

Security Misconfiguration：有时候，使用默认的安全配置可能会致使应用程序容易遭受多种攻击。在已经部署的应用、WEB 服务器、数据库服务器、操做系统、代码库以及全部和应用程序相关的组件中，都应该使用现有的最佳安全配置，这一点相当重要。

WAF

Web 应用防御系统（也称：网站应用级入侵防护系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：WEB 应用防火墙是经过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 WEB 应用提供保护的一款产品。

IDS

IDS 是英文 Intrusion Detection Systems 的缩写，中文意思是「入侵检测系统」。专业上讲就是依照必定的安全策略，经过软、硬件，对网络、系统的运行情况进行监视，尽量发现各类攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。作一个形象的比喻：假如防火墙是一幢大楼的门锁，那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现状况并发出警告。

IPS

入侵防护系统（IPS：Intrusion Prevention System）是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙（Packet Filter，Application Gateway）的补充。入侵预防系统（Intrusion-prevention system）是一部可以监视网络或网络设备的网络资料传输行为的计算机网络安全设备，可以即时的中断、调整或隔离一些不正常或是具备伤害性的网络资料传输行为。