2016年8月18日，中睿信息邀请了互联网应用开发多家企业公司参加了中睿首场《软件安全设计与开发》的技术沙龙，（活动现场回顾请点击：）之后中睿收到了某大型集团的邀请，在8月24日下午，为该企业进行了《Web应用安全设计与开发》的技术交流会，从现场反馈来看，该活动得到了到场嘉宾的好评与认可！

本次会议，主讲老师鹿老师向到场嘉宾讲了几种常见的Web攻击技术以及如何避免的方法。

相信大家对Web应用攻击并不陌生，也可能都经历过，但是具体如何更有效地预防或者“阻杀”，你知道吗？
那我们就来看看都有哪些类型的攻击，现场鹿老师又是怎样教给大家防范的方法呢？

SQL注入攻防演练

有些黑客想要获得服务器的操作权限或者让别的用户执行恶意的代码，就会在有URL地址输入或者文本输入的地方，通过手段注入SQL，获取服务器端数据库的内容，然后进行数据库内容的修改，SQL注入是一种通用的攻击手段。
现场鹿老师通过实例向大家演示了SQL注入的方式以及防范的方法。
 
XSS（跨站脚攻击）攻防演练
XSS与SQL注入攻击类似，与SQL注入区别的是，XSS通过插入恶意脚本，实现对用户浏览器的控制，可持久攻击用户浏览器，达到目的。现场演练了两种攻击实例。
 
CSRF攻防演练

CSRF是一种广泛存在的网站漏洞，被列为最危险的25个编程错误之一，由于CSRF攻击未必需要脚本语言，比XSS攻击更加方便，现在很多站点仍对CSRF这类漏洞防不胜防，因此，CSRF被安全界称为“沉睡的巨人”。
相信大部分人都有QQ号啊微博啊淘宝账户等被盗取的情况，这就是CSRF攻击，其造成的后果就是个人隐私泄露以及财产安全。现场也对CSRF攻击做重点实例展示和原因分析以及防范措施的分享。
 
网络钓鱼攻击

“钓鱼攻击”是指利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的敏感数据，如信用卡号、用户名、密码和email地址等内容。在所有接触诈骗信息的用户中，有高达5%的人有经历过这种攻击。

中睿信息鹿老师提醒大家，任何网络技术工作人员，不能用所学的技术技能去攻击别人的系统，这样做是违法的；技术人员应该了解安全测试技术，目的是防范我们的系统免遭攻击。

在知道了这么多Web应用漏洞，我们是不是就只能束手无策了？
答案是否定的！
我们有办法减少危险的攻击甚至不受攻击，前期是我们有一个安全的开发过程，将安全隐患消灭在萌芽状态。
在进行了漏洞分析和攻防演练之后，鹿老师现场与来宾分享了信息安全的需求、软件安全设计的原则和应用开发过程中应该注意的安全事项。至此，活动已进入尾声。

在信息技术不断普及的今天，信息安全技术显得日益重要。软件安全性已经成为一个越来越不容忽视的问题。新的Web攻击手法层出不穷，Web应用程序面临的安全形势日益严峻。很多软件开发的团队由于没有掌握和利用必要的控制软件安全性的技术，无法妥善解决相应的问题，把时间耗费在事后补救上，使得开发的效率大为降低，产品质量大打折扣，更严重则会导致生命财产安全的损失。
在此中睿信息呼吁广大用户、网络和安全管理人员，要重视安全产品和技术，更要重视安全流程管理和组织体系以及内部培训，将安全隐患消灭在萌芽状态。

本资讯由中睿信息（www.itlead.com.cn）编辑整理发布。