常见的网络攻击

1.XSS攻击：跨站点脚本攻击（Cross Site Script）。

攻击方式：利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

防御方式：web页面关键字特殊字符过滤。

2.CSRF攻击：跨站请求伪造（Cross-site Request forgery）。

攻击方式：csrf通过盗用登录信息进行非法操作，比如当你打开浏览器登陆网上银行系统未及时退出注销时，攻击者获取用户登录信息进行转账操作，因为获取到的用户信息是真实的，银行系统也无法分辨真伪。

防御方式：1）完成操作及时注销登陆

                  2）绑定操作设备常用IP地址

                  3）授权信息设置失效时间

                  4）验证码操作

3.SQL注入（SQL Injection）

攻击方式：sql注入是web开发中最常见的一种安全漏洞，sql注入漏洞就是通过sql参数替换形成sql操作，可以用它来从数据库中获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

防御方式：1）使用预处理PreparedStatement

                  2）使用正则表达式过滤掉字符中的特殊字符。

                  3）目前许多数据访问层框架，比如mybatis，都是先SQL预编译和参数泵定，攻击者的恶意SQL会被当作SQL的参数而不是SQL命令执行。

4.DOS攻击（Denial Of Service），即拒绝服务，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或者网络无法提供正常的服务。

防御方式 ：1）验证码，暴力防御方式，用户体验差

                   2）限制请求频率Yahoo算法，根据IP地址和cookie等信息，可以计算客户端的请求频率并进行拦截。

5.DDOS攻击：分布式拒绝服务攻击，DDOS是DOS攻击中的一种方法。是指攻击者利用大量机器对攻击目标发动大量的正常或非正常请求，耗尽目标主机资源或网络资源，从而使被攻击的主机不能为合法用户提供服务。

防御方式和DOS攻击相同。

6.中间人攻击：中间人攻击常见于用户和服务器之间传输数据不加密的网站，作为用户，只要看看网站的URL是不是以HTTPS开头就能发现这一潜在风险了，因为HTTPS中的S是指数据是加密的，缺了S就是不加密的。

攻击方式：攻击者利用中间人类型的攻击收集信息，通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截，如果数据未加密，攻击者就能轻易读取用户信息，攻击信息或其他敏感信息。

防御方式：在网站上安装安全套接字层（SSL）就能缓解中间人攻击风险，SSL证书加密各方间传输的信息，攻击者即使拦截到了也无法轻易破解。现代托管提供商通常已经在托管服务中配置了SSL证书。

7.暴力破解攻击：是获取web应用登录信息相当直接的一种方式，但同时也是非常容易缓解的攻击方式之一，尤其是从用户侧加以缓解最为方便。

攻击方式：暴力破解攻击中，攻击者试图猜解用户名和密码对，以便登陆用户账户。当然，即使采用多台计算机，除非密码相当简单且明显，否则破解过程可能要耗费几年时间。

防御方式：保护登录信息的最佳方法，是创建强密码，或者使用双因子身份验证（2FA），作为网站拥有者，你可以要求用户同时设置强密码和2FA，以便缓解网络罪犯才出密码的风险。

8.网络钓鱼：网络钓鱼是另一种没有直接攻击网站的攻击方式，但我们不能把它排除在名单之外，因为网络钓鱼也会破坏你系统的完整性。

攻击方式：网络钓鱼攻击用到的标准工具就是电子邮件。攻击者通常会伪装成其他人，诱骗受害者给出敏感信息或执行银行转账。此类攻击可以是古怪的419骗局（属于预付费欺诈类骗局），或者涉及假冒电子邮件地址、貌似真实的网站和极具说服力用语的高端攻击。后者以鱼叉式网络钓鱼之名广为人知。

防御方式：缓解网络钓鱼骗局风险最有效的办法，是培训员工和自身，增强对此类欺诈的辨识能力。保持警惕，总是检查发送者电子邮件地址是否合法，邮件内容是否古怪，请求是否不合常理。另外，谨记：天上不会掉馅饼，事出反常必有妖。