目录介绍：

• 1、数据库防火墙的特点以及比较核心的功能有哪些
• 2、发现XSS漏洞的一般做法有哪些？
• 3、XSS攻击和DDOS攻击的区别
• 4、什么是xss攻击，如何预防

数据库防火墙的特点以及比较核心的功能有哪些

以安华金和数据库防火墙为例，主要功能与特点有：学习期行为建模，数据库防火墙可基于学习期完成语句、会话的建模分析，构建数据库安全防护模型。并且具备语法分析能力，可以对 SQL 语句进行抽象描述，将海量的 SQL 语句归类成 SQL 模板。基于 SQL 模板关联会话信息，可预定义数据库黑白名单和风险规则。

数据库入侵行为防护， 外部系统利用数据库漏洞进行数据库攻击时，数据库防火墙可以实时捕获到对应的 SQL 语句及相关会话信息，及时阻断风险会话并发送告警，帮助用户实时防护数据库漏洞攻击并有效追溯风险来源。

针对 SQL 注入和 XSS 攻击行为数据库防火墙基于精准的 SQL 语法分析，可以准确定位 SQL 语句中的操作谓词及常量表达式，保障注入、攻击行为防护的准确性。

数据库违规行为防护，数据库防火墙提供丰富的规则类型，可以针对不同的数据库访问来源，提供对敏感表的访问权限、操作权限和影响行数的实时有效管控，并结合对NO WHERE语句风险的判断，避免大规模数据泄露和篡改。

数据库异常行为监控，数据库防火墙可对数据库通讯协议进行完全解析，将 SQL 语句归类成模板，并结合会话信息、应用关联信息，实现学习期行为建模，并以学习期建立的模型为“蓝本”，对数据库访问行为进行周期性对比，以此绘制行为趋势图，快速定位“波动点”识别可能存在的异常行为并预定义风险规则，帮助用户准确定位异常行为。

阻断与拦截功能，数据库防火墙支持会话阻断，可准确定位风险来源并阻断会话请求。在会话阻断的基础上，提供“语句拦截”的处理机制，仅针对会话里产生风险的 SQL 语句进行拦截，保持会话内其他合规语句的正常操作。

行为审计功能，数据库防火墙从风险、语句和会话的角度提供风险行为的审计功能，用户可以在此基础上进行关联查询，深入挖掘风险来源和风险行为模型，实现数据库风险行为分析和问题追溯。

提供多样化的风险分析报表，数据库防火墙可实现将报表划分为“风险综合分析报告”、“风险防护报告”、“数据库风险分析”、“客户端风险分析”等，帮助安全管理人员更加便捷、深入的剖析数据库运行风险。

发现XSS漏洞的一般做法有哪些？

关于发现时间，要具体到是检测什么目标了。找google的，和找腾讯的时间肯定不会一样。 至于“你们一般都是如何发现xss漏洞的？” 不同类型的XSS漏洞，可能不尽相同。

1.对于反射型XSS以及一些DOM XSS，一般建议是开发一些自动化的扫描工具进行扫描，并辅以手工分析。 另外一方面，搜索引擎也是快速寻找具有缺陷参数的好办法。

2.对于存储型XSS，

1) 对于单纯的输入-存储-输出点 的情况 （输入与输出点关系：一个地方输入，会有多个地方输出；不同地方输入，同一地方输出。绕了点 T T ...）。常规测试是正向直接输入内容，然后在输出点查看是否未过滤，当然你也可以先大胆假设输出点未过滤，反向寻找在何处进行输入，进而测试。

2）对于富文本，则需要对过滤器进行fuzz测试（人脑+自动化）了，正好乌云drops上有乌乌发了一篇：fuzzing XSS filter

3）第三类，就是一些WEB应用中所出现的DOM-存储型XSS，即输出点的无害内容，会经过js的一些dom操作变得危险（本质上和 第1点里的dom xss成因是一样的）。这一类的挖掘方法，个人觉得不太好总结。 其一，需要熟悉WEB应用的功能，其二，知道功能所对应的JS代码有哪些，其三，凭直觉猜测程序员会在哪些功能出现可能导致XSS的过滤遗忘或过滤错误（直觉是唬人的，其实就是你知道某些功能会需要某些代码实现，而这些代码常常容易出错），其四，需要有较好的代码阅读跟踪能力（JS一大坨。。还是蛮难读的.... 有些代码被混淆过，十分不易阅读，就会涉及到如何下断点进行调试的小技巧）。 我想，挖掘这一类的前提可能是需要有不错的前端开发经验，写多了，才会有足够的嗅觉。

其实吧，有时候专门去找漏洞会很累的，大什么怡情，小什么伤身，因此，我们还不如开心的敲敲代码，听听歌，静待生命中那些意外的收获。 这些收获经常来自身边的人发给你的一些事物。

最后，不论如何，基础很重要吧，内力不足，招式再多也没用，反之，草木竹石皆可为剑。

XSS攻击和DDOS攻击的区别

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

什么是xss攻击，如何预防

xss攻击是webshell类中的一种，是跨站攻击，可以通过WAF应用防火墙防御，如果懂技术可以自己写，相关的程序规则进行拦截，返回错误请求信息，或者安装安全狗 云锁之类的，和百度云加速等都带有免费的WAF功能，也可以找智多互联，专业防御各种攻击，提供专业的防御方案