盡管開(kāi)發(fā)人員可能難以接受，但有許多不同的安全威脅可能針對(duì)他們的應(yīng)用程序，而且它們還在不斷變化和改進(jìn)。開(kāi)發(fā)人員和網(wǎng)站所有者應(yīng)該了解一些可能帶來(lái)不同挑戰(zhàn)的最常見(jiàn)的攻擊媒介。因此，通過(guò)閱讀其中一些頻繁的攻擊，開(kāi)發(fā)人員將能夠?qū)Ｗ⒂趧?chuàng)造出色的用戶(hù)體驗(yàn)，同時(shí)確信他們的應(yīng)用程序是安全的。在這里，我們總結(jié)了我們每天可能面臨的一些潛在攻擊。

1.XSS 腳本攻擊

XSS 攻擊（跨站點(diǎn)腳本攻擊）是一些最常見(jiàn)的攻擊，因此幾乎所有開(kāi)發(fā)人員都需要準(zhǔn)備好應(yīng)對(duì)它們。這主要是利用 JavaScript、Flash 和其他類(lèi)似現(xiàn)場(chǎng)技術(shù)中的已知漏洞來(lái)運(yùn)行任意代碼。

因此，設(shè)置腳本來(lái)隨機(jī)搜索和攻擊應(yīng)用程序相對(duì)容易。幾乎任何新手黑客都能夠設(shè)置這些類(lèi)型的腳本，據(jù)報(bào)告稱(chēng)，它們構(gòu)成了 2013 年攻擊的 84% 左右。雖然它們并不復(fù)雜，但它們?nèi)匀辉试S黑客訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)。

2.犯罪

CRIME (Compression Ratio Info-leak Made Easy) 是一個(gè)如雨后春筍般涌現(xiàn)的漏洞，它能夠捕獲 cookie 和會(huì)話(huà)劫持。它可以產(chǎn)生可以被黑客出售的信息。因此，它是一種利用 HTTP 壓縮漏洞的漏洞利用，可以在客戶(hù)端或服務(wù)器端失敗。然而，在 2014 年初，仍有大量的網(wǎng)站和瀏覽器對(duì)攻擊持開(kāi)放態(tài)度。

3.違反

基于 CRIME 的基于自適應(yīng)超文本壓縮 (BREACH) 的瀏覽器偵察和滲透是最新的安全威脅之一。它已經(jīng)暴露了一些最受歡迎的在線(xiàn)應(yīng)用程序中的一些漏洞。該漏洞通過(guò)暴力破解壓縮的幾個(gè)字節(jié)的 https 流量來(lái)工作。然后解決剩下的問(wèn)題，讓流量解碼。它將使攻擊者能夠看到 https 內(nèi)容。修復(fù)此漏洞的最簡(jiǎn)單方法是禁用 HTTP 壓縮，但它也建議只有在可能發(fā)生潛在攻擊時(shí)才能禁用 HTTP 壓縮。

4.身份盜竊

值得注意的是，身份盜用仍然是一個(gè)重大問(wèn)題。這可能是在其他地方發(fā)生的攻擊——也許攻擊者已經(jīng)通過(guò)使用惡意軟件或類(lèi)似的漏洞從他們的計(jì)算機(jī)上獲取了用戶(hù)的密碼。開(kāi)發(fā)人員需要考慮如何應(yīng)對(duì)此類(lèi)攻擊。因此，攻擊者似乎擁有原始用戶(hù)的所有憑據(jù)。包括針對(duì)異常活動(dòng)的潛在額外安全檢查。

5.DDOS

拒絕服務(wù)攻擊是黑客使用的最古老的技術(shù)之一。它最近被想要抗議企業(yè)活動(dòng)的攻擊者認(rèn)真使用。應(yīng)用程序開(kāi)發(fā)人員應(yīng)該考慮他們對(duì)這類(lèi)攻擊的脆弱程度。因此，如果他們注意到他們的應(yīng)用程序?qū)@些攻擊很敏感，他們應(yīng)該嘗試引入將干擾降到最低的方法。

6.SQL 漏洞

列表中的最后一個(gè)條目將是必須考慮的。多年來(lái)，事實(shí)證明這對(duì)開(kāi)發(fā)人員來(lái)說(shuō)是一個(gè)挑戰(zhàn)。并且仍然是攻擊者訪(fǎng)問(wèn)大量數(shù)據(jù)庫(kù)內(nèi)容的最簡(jiǎn)單方法之一。當(dāng)攻擊者在數(shù)據(jù)庫(kù)上運(yùn)行任意數(shù)據(jù)庫(kù)代碼時(shí)，就會(huì)出現(xiàn) SQL 漏洞。允許訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。因此，對(duì)抗這種類(lèi)型的漏洞利用的唯一方法是首先擁有不允許此類(lèi)代碼執(zhí)行的良好代碼。