10 WEB攻击与防护技术 徐震 杨亮 《PHP语⾔程序设计》

### 文档总结 #### 1. 背景概述 - **技术背景**：Web技术成为主流，B/S架构占据主导地位，广泛应用于金融、电子商务、政务等场景。 - **流量占比**：CNCERT/CC流量监测数据显示，Web应用流量占TCP流量的81.1%。 #### 2. 典型攻击 - **SQL注入**：攻击者通过构造恶意输入，绕过认证机制，窃取敏感数据。 - **跨站脚本（XSS）**：攻击者利用网页漏洞，注入恶意脚本，风险包括盗取用户账号、窃取信息、控制浏览器等。 #### 3. 攻防原理 - **防护方法**： - **SQL注入**：加密隐藏域，对隐藏域进行合理的保护，如进行哈希等操作。 - **跨站脚本（XSS）**：结合输入验证和输出编码，确保用户输入数据的合法性，并对输出数据进行适当的编码，防止脚本在浏览器端运行。 - **防护产品**： - **WEB应用防火墙（WAF）**：检测和防御各类Web应用攻击（如SQL注入、XSS等），防护DDoS攻击，提供漏洞扫描功能。 - **DDoS防护系统**：专门针对应用层的DDoS攻击进行细粒度防护，代表产品包括绿盟抗拒绝服务系统、洪御抗拒绝服务攻击系统等。 - **应用系统开发**：客户端加固、网络层防护（防火墙、SSL、IDS、OS加固）等。 #### 4. 核心观点 - Web应用流量占比高，面临多种安全威胁，如SQL注入和XSS攻击。 - 防护需结合技术手段（如WAF、DDoS防护系统）和开发规范（如输入验证、输出编码）。 - 应用层防护是Web安全的重要组成部分，网络层防护无法完全替代。 总结：Web安全防护需从技术、产品和规范三方面入手，综合运用多种手段，确保Web应用的安全性和稳定性。