Web安全

服務器?解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等服務器的Web容器在某種情況下解釋成腳本文件格式并得以執行而產生的漏洞。服務器解析漏洞算是歷史比較悠久了，但如今依然廣泛存在。

文件上傳漏洞是指由于程序員未對上傳的文件進行嚴格的驗證和過濾，而導致的用戶可以越過其本身權限向服務器上上傳可執行的動態腳本文件。這里上傳的文件可以是木馬，病毒，惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的。

WAF一句話描述，就是解析HTTP請求（協議解析模塊），規則檢測（規則模塊），做不同的防御動作（動作模塊），并將防御過程（日志模塊）記錄下來。

織夢被黑惡意掛馬并不奇怪，本身織夢程序案例漏洞過多，如不做好安全更新或備份，造成數據丟失并影響排名。

說到網站被劫持，很多站長并不陌生，可如何才能有效發現并避免被劫持，是很多網站頭疼的問題，這里特地為大家分享網站被劫持解決方案。

研究了下replace的注入安全問題。 一般sql注入的過濾方式就是引用addslashes函數進行過濾。

webshell可以穿越服務器防火墻，由于與被控制的服務器或遠程過80端口傳遞的，因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄，只會在網站的web日志中留下一些數據提交記錄，沒有經驗的管理員是很難看出入侵痕跡的。

防盜鏈的目的：防止別人通過一些技術手段繞過本站的資源展示頁面，盜用本站的資源，讓繞開本站資源展示頁面的資源鏈接失效，可以大大減輕服務器及帶寬的壓力。

CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，XSS利用站點內的信任用戶，而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比XSS更具危險性。

一、什么是跨域跨域是指一個域下的文檔或腳本試圖去請求另一個域下的資源，比如：資源跳轉：A鏈接、重定向、表單提交；資源嵌入：、、、等dom標簽，還有樣式中background:url()、@font-face()等文件外鏈；腳本請求：js發起的ajax請求、dom和js對象的跨域操作等；我們通常所說的跨域是指由瀏覽器同源策略限制的一類請求場景。什么是同源策略？同源策略 SOP

作為普通的網民來說，一般不需要知道也不用關心什么是盜鏈，不過如果你是網站的開發者或維護者，就不得不重視盜鏈的問題了。如果你剛剛開發完一個沒有防盜鏈的帶有文件下載功能的網站，掛上internet，然后上傳幾個時下非常熱門的軟件或電影并在網站內公布下載地址，讓MSN上的所有好友都來體驗一下你的杰作。不用多久就會發現網速出奇地變慢，甚至服務器托

什么是資源盜鏈？簡單的說，就是某些不法的網站，通過在其自身網站程序里未經過許可非法調用其他網站的資源，然后在自己的網站上顯示這些調用的資源，達到了填充自身網站顯示的效果，但是浪費了調用資源網站的網絡流量，造成其他網站的帶寬及服務壓力吃緊，甚至宕機。