1. “XSS跨站脚本攻击”：给你网站“加点料”

你知道吗？研究表明，跨站脚本攻击这玩意儿，竟然占了所有攻击的40%！简直是网络攻击界的“网红”！不过，别看它这么火，大多数跨站脚本攻击其实技术含量并不高，很多都是“脚本小子”拿着别人的“武器”瞎比划。

这种攻击，主要针对的是网站的“客人”，而不是网站本身。黑客会在有漏洞的网站里偷偷“埋”一段代码，然后，当“客人”光顾时，这段代码就会“跳”出来搞事情。它可能会“偷”你的账户，给你“种”个木马，或者篡改网站内容，忽悠你把私密信息交出来。

防范方法：

对于所有输入的数据（如填表单数据、查询条件参数等）进行过滤和验证。特别是对于敏感数据（如密码、各类卡信息等），应该进行严格的身份验证，防止恶意的脚本代码通过漏洞钻进网站里。

2. “注入攻击”：直捣“数据库”老巢

在“开放Web应用安全项目”最新发布的十大应用安全风险榜单里，注入漏洞可是“头号危险分子”！其中，SQL注入又是网络罪犯最常用的“招式”。

注入攻击，直接瞄准网站和服务器的“心脏”——数据库。攻击者会注入一段“毒代码”，这段代码能“撬开”隐藏的数据和用户输入，让你获得修改数据的权限，甚至能“挟持”整个应用。

防范方法：

保护网站免受注入攻击，关键在于代码的“体质”。首选的“防御姿势”，尽量采用参数化数据查询语句，还有使用第三方身份验证、操作审计等，让专业的人干专业的事。

3. “模糊测试”：给你的应用“压力测试”

开发者会用模糊测试来找软件、操作系统或网络里的“bug”和安全漏洞。但是，黑客也能用这招来找你网站或服务器上的“软肋”。

黑客会先给应用输入一大堆乱七八糟的数据，让它“崩溃”。然后，用模糊测试工具来发现应用的“弱点”。如果你的应用有漏洞，黑客就能趁虚而入，进一步搞破坏。

防范方法：

对抗模糊攻击，最好的办法就是“打补丁”，及时更新安全设置和其他应用。尤其是那些发布的安全补丁，你不更新就等着被黑客“吊打”。

4. “零日攻击”：专挑“新鲜出炉”的漏洞下手

零日攻击，可以说是模糊攻击的“升级版”，它甚至不需要你先发现漏洞。最近，谷歌就发现了Windows和Chrome软件里有潜在的零日攻击。

黑客有两种方式从零日攻击中“捞好处”：

提前“预知”：如果能提前知道安全更新的消息，黑客就能在更新发布前分析出漏洞在哪。

“趁火打劫”：黑客拿到补丁信息后，专门攻击那些还没更新系统的“倒霉蛋”。

这两种情况下，系统安全都会“遭殃”，至于后果有多严重，就看黑客的“本事”了。

防范方法：

保护自己和网站免受零日攻击，最简单的办法就是“勤快点”，新版本发布后赶紧更新软件。

5.“路径(目录)遍历”：“翻箱倒柜”找你“家底”

路径遍历攻击，专门针对网站Web根目录，试图访问目标文件夹之外的“私密”文件或目录。黑客会把“移动模式”注入服务器目录，然后“步步高升”。一旦成功，就能获得网站控制权，拿到配置文件、数据库，甚至同一服务器上的其他网站和文件。

防范方法：

做好网站访问的权限控制，分清哪些大家都能看的、要授权才能看的、不该看的。

6. “分布式拒绝服务-DDoS”：“人海战术”淹没你

DDoS攻击本身不能让黑客“破门而入”，但它能让你的网站“瘫痪”，暂时或永久“下线”。

DDoS攻击，就是用大量的请求“淹没”目标Web服务器，让其他“客人”无法访问网站。黑客通常会利用“僵尸网络”，从世界各地“调兵遣将”，发送海量请求。而且，DDoS攻击经常和其他攻击“狼狈为奸”，黑客用DDoS攻击来“声东击西”，吸引安全系统的注意力，然后暗地里利用漏洞“偷袭”。

防范方法：

保护网站免受DDoS攻击，需要“多管齐下”：通过内容分发、负载均衡“疏导”访问流量，部署Web应用防火墙阻断攻击。

7. “中间人攻击”：“偷听”你的“悄悄话”

中间人攻击，经常发生在那些用户和服务器之间传输数据不加密的网站上。作为用户，只要看看网站的网址是不是以https开头，就能发现有没有这个风险。https里的“s”，代表数据是加密的，没了“s”，就是“裸奔”。

黑客利用中间人攻击来“收集情报”，通常是那些“敏感”信息。数据在双方之间传输时，可能会被黑客“拦截”。如果数据没加密，黑客就能轻松“偷看”你的个人信息、登录信息或其他“私密”信息。

防范方法：

给网站安装“数字证书（SSL）”，就能降低中间人攻击的风险。SSL证书会加密各方之间传输的信息，黑客即使“截胡”了，也看不懂。

8. “暴力破解攻击”：“死磕”你的密码

暴力破解攻击，是获取Web应用登录信息的一种“简单粗暴”的方式。但同时，也是很容易“化解”的攻击，尤其是从用户这边下手，效果更佳。

暴力破解攻击，就是黑客试图“猜”出你的用户名和密码，然后“登堂入室”。当然，除非你的密码特别简单（弱口令），否则，即使黑客用很多台电脑，也可能要“猜”上几年。

防范方法：

保护登录信息，最好的办法就是“设置强密码”，或者使用“双因子身份验证（2FA）”，就是在输入密码的基础上，增加验证码、动态令牌等二次认证。

9. “使用未知代码或第三方代码”： 小心“代码陷阱”

虽然这不算直接攻击网站，但使用来路不明的第三方代码、插件等，也可能导致严重的安全漏洞。

代码或插件的“原作者”，可能会在代码里“藏”恶意字符串，或者“无意中”留下“后门”。一旦你把这些“带毒”的代码用到网站上，就可能面临恶意字符串被执行，或者“后门”被利用的风险。后果可能是数据泄露，甚至网站“失守”。

防范方法：

想要避免“踩雷”，就要让你的开发人员“擦亮眼睛”，分析并审计代码的“健康状况”。

10. “网络钓鱼”：“姜太公钓鱼”，愿者上钩

网络钓鱼，也不是直接针对网站的攻击，但我们不能把它排除在外，因为它也会破坏你系统的“完整性”。

网络钓鱼攻击，最常用的“工具”就是电子邮件。黑客通常会“伪装”成其他人，忽悠你把“敏感信息”交出来，或者“转账”。这种攻击，可能是“老掉牙”的冒名顶替骗局，也可能是“高仿”的假冒电子邮件、网站，加上极具“迷惑性”的“话术”。

防范方法：

防范网络钓鱼，最有效的办法就是“提高警惕”，核实情况，多留个心眼，增强对这类“骗局”的识别能力。