【51CTO.com 獨(dú)家特稿】國內(nèi)外黑客組織或者個人為牟取利益竊取和篡改網(wǎng)絡(luò)信息，已成為不爭的事實(shí)，在不斷給單位和個人造成經(jīng)濟(jì)損失的同時，我們也應(yīng)該注意到這些威脅大多是基于Web網(wǎng)站發(fā)起的攻擊，在給我們造成不可挽回的損失前，我們有必要給大家介紹幾種常見的網(wǎng)站漏洞，以及這些漏洞的防范方法，目的是幫助廣大網(wǎng)站管理者理清安全防范思緒，找到當(dāng)前的防范重點(diǎn)，最大程度地避免或減少威脅帶來的損失。

1、SQL語句漏洞

也就是SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。

有效防范手段：對于SQL注入問題的一般處理方法是賬戶最小權(quán)限原則。以下幾種方法推薦使用：

對用戶輸入信息進(jìn)行必要檢查
對一些特殊字符進(jìn)行轉(zhuǎn)換或者過濾
使用強(qiáng)數(shù)據(jù)類型
限制用戶輸入的長度

需要注意：這些檢查要放在server運(yùn)行，client提交的任何東西都是不可信的。使用存儲過程，如果一定要使用SQL語句，那么請用標(biāo)準(zhǔn)的方式組建SQL語句。比如可以利用parameters對象，避免用字符串直接拼SQL命令。當(dāng)SQL運(yùn)行出錯時，不要把數(shù)據(jù)庫返回的錯誤信息全部顯示給用戶，錯誤信息經(jīng)常會透露一些數(shù)據(jù)庫設(shè)計的細(xì)節(jié)。

2、網(wǎng)站掛馬

掛馬就是在別人電腦里面(或是網(wǎng)站服務(wù)器)里植入木馬程序，以盜取一些信息或者控制被掛馬的電腦做一些不法的勾當(dāng)（如攻擊網(wǎng)站，傳播病毒，刪除資料等）。網(wǎng)頁掛馬就是在網(wǎng)頁的源代碼中加入一些代碼，利用漏洞實(shí)現(xiàn)自動下載木馬到機(jī)器里。網(wǎng)站掛馬的形式可分為框架掛馬、數(shù)據(jù)庫掛馬、后臺掛馬、服務(wù)器掛馬以及其他形式的掛馬方式。

有效防范手段：要防止網(wǎng)站被掛馬，可以采取禁止寫入和目錄禁止執(zhí)行的功能，這兩項功能相組合，就可以有效地防止ASP木馬。此外，網(wǎng)站管理員通過FTP上傳某些數(shù)據(jù)，維護(hù)網(wǎng)頁時，盡量不安裝asp的上傳程序。這對于常被ASP木馬影響的網(wǎng)站來說，會有一些幫助。當(dāng)然是用專業(yè)的查殺木馬工具也是不錯的防護(hù)措施。

需要注意：管理員權(quán)限的用戶名和密碼要有一定復(fù)雜性，并只允許信任的人使用上傳程序。

3、XSS跨站攻擊

XSS又叫CSS (Cross Site Script) ，屬于被動式的攻擊，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼（攻擊者有時也會在網(wǎng)頁中加入一些以.JS或.VBS為后尾名的代碼），當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。

有效防范手段：對于XSS跨站攻擊的防范分為對網(wǎng)站和對個人分別來講。
對于網(wǎng)站，堅決不要相信任何用戶輸入并過濾所有特殊字符，這樣可以消滅絕大部分的XSS攻擊。
對于個人，保護(hù)自己的最好方法就是僅點(diǎn)擊你想訪問的那個網(wǎng)站上的鏈接。有時候XSS會在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時自動進(jìn)行，當(dāng)你打開電子郵件或是在公共論壇上閱讀你不認(rèn)識的人的帖子時一定要注意。最好的解決辦法就是關(guān)閉瀏覽器的 Javascript 功能。在IE中可以將安全級別設(shè)置為最高，可以防cookie被盜。

實(shí)際上，上面三種網(wǎng)站攻擊是目前較為流行和常見的，而防范手段對于專業(yè)的網(wǎng)站管理者來說，只是經(jīng)驗之談，但我們非常清楚的知道，網(wǎng)站漏洞層出不窮，能否及時防御、修復(fù)，是網(wǎng)站能否安全運(yùn)行的決定因素。單靠技術(shù)人員的手動修復(fù)是不可能做到面面俱到的，需要對網(wǎng)站漏洞敏感程度較高的軟件來有效的保障網(wǎng)站的安全。筆者作為一名51CTO安全頻道的客座專家也深知這一點(diǎn)，在這里向廣大網(wǎng)站管理和運(yùn)維人員推薦一款性價比較高的軟件：UnisWebScanner。

這款網(wǎng)站安全掃描器是目前市場上使用比較廣泛的，而且是Web安全性價比不錯的一款安全產(chǎn)品，相比國外的Web安全掃描產(chǎn)品來說，UnisWebScanner速度快，可以緊密跟蹤國內(nèi)最新網(wǎng)頁木馬，達(dá)到快速響應(yīng)和及時更新能力；筆者之所以推薦給廣大51CTO的廣大用戶，更為重要的一些原因是，UnisWebScanner的掃描結(jié)果非常準(zhǔn)確，而且不含惡意軟件和廣告軟件，相信這一點(diǎn)對于很多網(wǎng)站管理者來說，都是至關(guān)重要的。

該軟件主要是針對Web安全性進(jìn)行弱點(diǎn)評估的智能檢測系統(tǒng)，整合了當(dāng)前各類流行Web攻擊手段，如網(wǎng)頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等，是多年研究積累的經(jīng)驗之作。UnisWebScanner適用于通過internet、intranet、extranet進(jìn)行網(wǎng)上交易或信息發(fā)布的大、中、小企業(yè)，如金融、證券、政府、電子商務(wù)、電信運(yùn)營商、基金、網(wǎng)游、科研院所等各類企事業(yè)單位。

【編輯推薦】

1. 網(wǎng)頁防篡改技術(shù)如何保護(hù)網(wǎng)站安全
2. 如何用UnisGuard保護(hù)網(wǎng)頁不被篡改