第二部分 网络攻击的基本防护方法

攻击者通过各类型漏洞或业务缺陷，强行改变当前业务状态及逻辑，实现系统功能的变更及失效等攻击行为。

通俗地说，基础攻击是攻击者将攻击代码通过各种方式嵌入到现有Web系统中，造成Web系统在执行的时候，嵌入的攻击代码使Web系统原有功能结构发生改变，进而导致安全漏洞的出现。

针对Web应用的攻击一直没有中断，如何实现有效的防护也是目前安全工作的主要内容。因此，需要从开发角度规避问题，并从运维角度持续关注当前安全状况。从这个角度来说，了解漏洞原理则成为实现高效防护的必备内容。

本部分会对常见的Web漏洞攻击手段及防护方案进行探讨。探讨攻击的目的是了解其原理及过程，以便实行有效的防御。但由于漏洞在实际表现方面非常复杂，因此本书所有案例均以最基本的功能环境为例进行说明，并且所有的案例及行为均在封闭的环境下执行，读者可登录“i春秋在线学习平台”（https://www.ichunqiu.com/）进行练习。其中的环境源码并非真实的业务系统，漏洞利用方式仅用于理解漏洞原理，且所有利用方式目前均有成熟的防护方案。

需要特别强调的是，目前互联网上依然存在有安全漏洞的网站，请务必遵守国家法律，切记不要开展危害他人Web服务器安全的攻击行为。