第十一章：Web 的攻击技术

1. 针对 Web 应用的攻击模式
   • 主动攻击
     主动攻击（active attack）是指攻击者通过直接访问 Web 应用，把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击，因此攻击者需要能够访问到那些资源。
     主动攻击模式里具有代表性的攻击是 SQL 注入攻击和 OS 命令注入攻击。
   • 被动攻击
     被动攻击（passive attack）是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中，攻击者不直接对目标 Web 应用访问发起攻击。
     被动攻击模式中具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。
2. 实施 Web 应用的安全对策可大致分为以下两部分
   • 客户端的验证
   • Web 应用端（服务器端）的验证
     输入值验证、输出值转义
3. DoS 攻击：DoS 攻击（Denial of Service attack）是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。
   • 集中利用访问请求造成资源过载，资源用尽的同时，实际上服务也就呈停止状态。
   • 通过攻击安全漏洞使服务停止。