iisadmin"可停止服务器的IIS服务） 23 防护方法 n 代码级防护 q 验证输入 q 参数化SQL q 输出检查 q 使用存储过程 n 平台级别防护 q 在运行期间防护：使用WAF、URL重写等 q 配置数据库安全策略（权限配置、关闭默认账号、审计等） 24 3.2.跨站脚本攻击 25 概述 n Cross Site Scripting（简写为XSS） q 务攻击系统 等 109 DDoS攻击防护产品 WEB应用防火墙 n WEB应用防火墙(简称：WAF) ，工作在网络应用层， 对来自WEB应用程序客户端的各类请求进行内容检测 和验证，确保其安全性与合法性，对非法的请求将予 以实时阻断，从而对各类网站进行有效防护。 n WAF产品应该具备以下功能： q 针对各类WEB应用攻击的检测和防御能力，如SQL注入、跨站脚 本等，满足对检测、防御能力在广度和深度上的要求 WEB应用漏洞扫描能力，加强WEB应用自身的安全性 110 q 代表产品：昊天电子政务防护系统、绿盟WEB应用防火墙、梭 子鱼应用防火墙、 Imperva SecureGrid WEB 应用防火墙…… n 以昊天WAF产品为例： 111 WEB应用防火墙 WEB应用主机加固 n WEB应用主机加固工具主要实时截取和分析 软件的执行流或交互的协议流，实时发现和过 滤攻击。 n 代表性产品： q Real