分散式拒絕服務攻擊 (DDoS)

定義：
攻擊者利用多個受控的電腦（通常被稱為「僵屍網路」）向目標伺服器發送大量的無效請求，耗盡伺服器的資源，使其無法提供正常合法用戶的請求。

手法：
1.寬頻消耗型攻擊
主要透過大量數據流量來消耗目標網路，導致正常流量無法通行。
2.資源消耗型攻擊
針對系統的計算資源或儲存空間，例如透過大量的請求來消耗目標的處理能力或記憶體資源，最終使系統無法正常運行。

影響：
DDoS 攻擊使目標伺服器或網絡無法處理合法請求，導致服務暫停或完全中斷，影響用戶的正常使用，即使服務不完全中斷，伺服器處理大量惡意流量後，性能也會嚴重下降，導致網頁加載時間變長或數據傳輸速度減慢，對依賴在線服務的企業來說，長時間的服務中斷會導致收入損失，特別是對電子商務網站和金融機構等行業，甚至可能損害品牌形象和用戶信任。

防禦措施：
使用 CDN（內容傳遞網路）和負載平衡來分散流量、用DDoS 防護服務或防火牆來過濾惡意流量。

SQL 注入攻擊 (SQL Injection)

定義：
攻擊者通過在 Web 應用程序的輸入字段中插入惡意的 SQL 語句，試圖操縱數據庫執行未經授權的操作，如獲取敏感數據、篡改數據、刪除數據等。

影響：
攻擊者可以未經授權地訪問、修改或刪除數據庫中的數據，敏感訊息洩露，嚴重影響系統的完整性和機密性。

防禦措施：

1. 使用參數化查詢（Prepared Statements）來避免 SQL 語句拼接、過濾和驗證用戶輸入，防止惡意數據注入。
2. 最小權限原則：限制應用程序用戶的數據庫操作權限。

跨網站指令碼 (XSS, Cross-Site Scripting)

定義：
XSS 是指攻擊者向網站注入惡意腳本，當其他用戶瀏覽該網站時，這些腳本將在受害者的瀏覽器中執行。攻擊者可以利用 XSS 竊取用戶的 Cookie、會話信息或執行其他惡意操作。

影響：
攻擊者可以劫持用戶會話、竊取敏感數據、偽造身份操作，且用戶數據可能被修改或盜取。

防禦措施：
對所有用戶輸入進行嚴格過濾和轉義，防止腳本注入，或使用安全的內容安全策略（Content Security Policy, CSP）來限制外部腳本加載。

跨站請求偽造 (CSRF, Cross-Site Request Forgery)

定義：
CSRF 是一種攻擊，攻擊者誘騙受害者在已經登錄的應用中執行未經授權的操作。攻擊者通常會發送一個惡意連結或表單，當受害者點擊或提交後，應用程序會在受害者不知情的情況下執行攻擊者指定的操作。

影響：
攻擊者可以利用已驗證的會話(session)執行未經授權的操作，如轉帳、修改密碼等，而攻擊成功的前提是受害者已登入目標網站，且攻擊連結是在同一個會話中發送的。

防禦措施：
使用 CSRF token 來驗證請求的合法性、檢查 HTTP 請求的來源和參照位址（Referer Header）。