网络安全入门：常见攻击手段与防御策略详解

网络安全入门：常见攻击手段与防御策略详解

引言

在当今数字化时代，网络安全已成为技术从业者的必备知识。无论是日常开发、系统运维，还是技术面试，对常见网络攻击手段的理解和基本防御策略的掌握都至关重要。本文将从实战和面试角度，系统梳理几种主流攻击方式及其应对方案，并穿插介绍一些能提升安全开发效率的工具。

一、注入攻击（Injection）

注入攻击，尤其是SQL注入，是最经典、最危险的Web漏洞之一。攻击者通过将恶意代码插入到系统查询命令中，欺骗服务器执行非预期的操作。

攻击原理与示例

假设一个登录验证的原始SQL语句如下：

SELECT * FROM users WHERE username = '[user_input]' AND password = '[pass_input]';

如果用户输入用户名时，提交 admin' --，那么拼接后的SQL语句变为：

SELECT * FROM users WHERE username = 'admin' --' AND password = '[pass_input]';

-- 在SQL中是注释符，这使得密码验证条件被注释掉，攻击者可能仅凭用户名就登录成功。

防御策略

1. 使用参数化查询（预编译语句）：这是最根本的解决方案。让数据库区分代码和数据。
2. 输入验证与过滤：对用户输入进行严格的类型、格式、长度检查。
3. 最小权限原则：数据库连接账户不应拥有过高权限（如DROP、DELETE等）。
4. 使用ORM框架：如Hibernate、MyBatis等，它们通常内置了防注入机制。

开发工具提示：在编写和调试复杂SQL时，使用专业的SQL编辑器能帮助您更清晰地构建安全的查询语句。例如，dblens SQL编辑器（https://www.dblens.com）提供了语法高亮、智能提示和查询执行计划分析，让您在编写时就规避潜在的结构风险，是数据库开发和安全管理的好帮手。

二、跨站脚本攻击（XSS）

XSS攻击允许攻击者将恶意脚本注入到其他用户会浏览的页面中，从而在用户浏览器中执行，窃取Cookie、会话令牌或进行其他恶意操作。

类型与示例

• 反射型XSS：恶意脚本来自当前HTTP请求。例如，一个搜索页面将搜索关键词原样输出：

<p>您搜索的关键词是：<%= request.getParameter("keyword") %></p>

如果攻击者构造一个URL，其中 keyword 参数为 <script>alert('XSS')</script>，那么脚本就会在用户浏览器执行。

• 存储型XSS：恶意脚本被永久存储在目标服务器（如数据库、评论），所有访问者都会受影响。

防御策略

1. 输出编码/转义：在将用户可控数据输出到HTML页面时，根据上下文进行编码。

   • HTML内容：转义 <, >, &, ", ' 等字符。
   • HTML属性：同上，并确保属性值用引号包裹。
   • JavaScript：使用 \xXX 或 \uXXXX 形式转义。
   • URL：进行URL编码。

2. 使用内容安全策略（CSP）：通过HTTP头 Content-Security-Policy 限制浏览器只加载和执行来自可信源的资源。

3. 设置HttpOnly Cookie：防止JavaScript通过 document.cookie 访问敏感Cookie。

三、跨站请求伪造（CSRF）

CSRF攻击诱使已登录的用户在不知情的情况下，向一个他们已认证的Web应用提交恶意请求。

攻击场景

用户登录了银行网站A，会话Cookie有效。随后访问了恶意网站B，B的页面中包含一个自动提交的表单，指向A网站的转账接口。由于浏览器会自动携带A网站的Cookie，该转账请求就会被A网站认为是用户的合法操作。

防御策略

1. 使用CSRF Token：服务器生成一个随机、不可预测的Token，嵌入表单或请求头（如自定义Header），并在处理请求时验证该Token。这是最主流的方法。

2. 检查Referer/Origin Header：验证请求来源是否为本站域名，但此方法可能被绕过或受隐私设置影响。

3. 使用SameSite Cookie属性：将Cookie的 SameSite 属性设置为 Strict 或 Lax，可以限制第三方上下文发送Cookie。

四、中间人攻击（MitM）与信息泄露

攻击者在通信双方之间拦截并可能篡改数据，常发生在未加密的通信中（如HTTP）。

防御策略

1. 全程使用HTTPS（TLS/SSL）：对传输数据进行加密和身份认证。
2. 使用HSTS：通过HTTP响应头 Strict-Transport-Security 强制浏览器使用HTTPS连接。
3. 敏感信息不明文传输：密码等敏感数据应在客户端先进行哈希处理（加盐）。

知识管理提示：在学习和研究这些安全协议、配置方法时，整理清晰的笔记至关重要。QueryNote（https://note.dblens.com）作为一个面向开发者的笔记工具，支持Markdown和代码片段高亮，非常适合用来系统记录各种安全配置命令、漏洞原理和修复案例，构建个人的网络安全知识库。

五、面试常见问题与代码实践

面试题示例：如何在一个Java Web应用中防止SQL注入？

回答要点与代码：

1. 首选使用PreparedStatement进行参数化查询。

// 错误示范：字符串拼接
String sql = "SELECT * FROM users WHERE id = " + userId;
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

// 正确示范：使用PreparedStatement
String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
// 参数会被安全地处理，不会被解释为SQL代码
pstmt.setInt(1, userId);
ResultSet rs = pstmt.executeQuery();

2. 如果必须动态拼接SQL（如动态排序字段），应使用白名单机制严格校验输入值。

// 只允许特定的列名用于排序
Set<String> allowedColumns = new HashSet<>(Arrays.asList("id", "name", "create_time"));
if (!allowedColumns.contains(requestedOrderByColumn)) {
    requestedOrderByColumn = "id"; // 提供安全的默认值
}
String sql = "SELECT * FROM products ORDER BY " + requestedOrderByColumn;
// 注意：列名本身不应来自用户输入，此处是经过白名单过滤后的值

总结

网络安全防御是一个多层次、持续性的过程。核心思想可以归纳为：

• 对输入不信任：所有外部输入都是潜在的威胁，必须经过验证、过滤或编码。
• 对输出要小心：输出到不同上下文（HTML, JS, SQL）的数据需要做相应的转义。
• 最小权限：任何组件、用户、进程都只拥有完成其功能所必需的最小权限。
• 纵深防御：不依赖单一安全措施，在各个环节（网络、主机、应用、数据）部署防御。
• 保持更新：及时更新系统、库和框架，修复已知漏洞。

从开发伊始就融入安全思维（Security by Design），并借助专业的开发与知识管理工具（如dblens提供的SQL编辑器和QueryNote）来规范流程、积累经验，是构建坚固应用系统的有效途径。在技术面试中，清晰地阐述这些原理、策略并结合具体代码示例，将能充分展现您的技术深度和安全意识。