1,认证
需要登录帐号的角色
2,授权
帐号的角色的操作范围
3,避免未经授权页面直接可以访问
使用绝对url(PS:绝对ur可以通过httpwatch监控每一个请求,获取请求对应的页面),登录后台的每个页面
3,session和cookie
sessioid- cookie欺骗
避免保存敏感信息到cookie文件中(企业内部人事系统,交易系统 等 使用active插件保存)
作用域
上图作用域为/根目录,会导致不同系统cookie 交叉读取.
4,DDOS拒绝服务攻击
疯狂地想服务器发请求,损人不利己
(1),肉鸡
(2)攻击联盟
多台终端一起发起攻击服务器,分布式攻击
(3),利用tcp建立连接 三次握手规则
1 C->S 第一次握手时 模拟不存在的ip,消耗服务器连接资源
2 S->C
3 C->S
