一、内容梳理

常见的攻击手段

• XSS攻击

概念：XSS 攻击者一般都是通过在请求中嵌入恶意脚本达到攻击目的

防御手段：对某些危险进行字符转义

• SQL注入攻击

概念：注入有恶意SQL命令的攻击手段

防御手段：过滤或SQL 预编译参数绑定

• CSRF攻击

概念：攻击者盗用了你的身份，以你的名义发送恶意请求

防御手段：表单Token、验证码、Referer check

• 其他要关注的攻击和漏洞

错误回显

HTML注释

文件上传

路径遍历

常见的安全防护措施

1.Web应用防火墙

2.网站安全漏洞扫描

3.信息加密技术及密钥安全管理

• 单项散列加密

• 对称加密

• 非对称加密

• 密钥安全管理与加解密服务系统架构



4.反垃圾邮件

• 贝叶斯分类算法

• 布隆过滤黑名单

5.电子商务风险控制

• 规则引擎

• 机器学习

二、收获和体会

对系统安全中涉及的常见攻击手段和常见的防御措施进行了系统的学习，完善了系统安全这块的知识体系。

三、思考

对于系统安全要进行全面考虑，在公司或部门制定安全规范和利用一些安全防护手段可以有效的防止安全事故的发生。

四、后续计划

总结一套安全防护规范，在以后的系统设计和开发中遵循安全防护规范要求。