一、现象接到客户的电话，说自己的云服务器被提供商禁止访问了，原因是监测到网络流量暴满，服务器不停的向外发包，在确认客户没有业务量突增的情况下，初步判断可能服务器遭受了流量攻&击（DDOS），不过按照常理来说，客户的业务系统就是一个小的web系统，平时流量不大，影响力也一般，不至于遭受DDOs，带着这些疑问，要到了客户服务器的登录方式，废话少说，还是进入系统，一查究竟吧。二、排查问题下图是登

使用http访问提示，您与此网站之间建立的连接不安全问题原因：使用 http 访问都会报这个的提示,因为http 协议数据传输是不加密的。解决：使用安全加密的 https 访问网站。 使用https访问任提示，您与此网站之间建立的连接并非完全安全问题原因：使用安全的https访问网站也不能说明网站是完全安全的，只要网站的内容有使用 http 方式访问（如图片加载地址）就会报这个的安全提示信息。解决

访问网站时报“你要访问的网站包含恶意软件”，登录Google Search Console 发现Google 检查到网站存在安全问题顺者Google 检查出来有安全问题的网址打开看源码信息，确实发现存在如下恶意代码<SCRIPT Language=VBScript><!--DropFileName = "svchost.exe" WriteData =解决： 在网站目录全盘扫描恶意代码，找

​01 ping命令的使用 02 netstat命令的使用 03 tasklist和taskkill的使用 04 扫描器X-SCAN的使用06 先试手:Ipc漏洞07 shed共享扫描器的使用

系统发布后使用 360网站安全扫描，发现存在 [轻微]X-Frame-Options头未设置 漏洞，漏洞的根本原因是目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP 响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面，网站可以用这个头来保证他们的内容不会被嵌入到其它网站中，以来避免点击劫持。利用这个漏洞攻击者可以使用一个透明的

XSS简介XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。作为开发人员，需要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。XSS 是