一個網站建立以後，如果不注意安全方面的問題，很容易被人攻擊，下面就討論一下幾種漏洞情況和防止攻擊的辦法。

辦公資源網址導航 https://www.wode007.com 熊貓辦公https://www.wode007.com/sites/73654.html

一、SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程式，將（惡意）的SQL命令注入到後臺資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站洩露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的，這類表單特別容易受到SQL注入式攻擊。

原理：

SQL注入攻擊指的是通過構建特殊的輸入作為引數傳入Web應用程式，而這些輸入大都是SQL語法裡的一些組合，通過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程式沒有細緻地過濾使用者輸入的資料，致使非法資料侵入系統。

根據相關技術原理，SQL注入可以分為平臺層注入和程式碼層注入。前者由不安全的資料庫配置或資料庫平臺的漏洞所致；後者主要是由於程式設計師對輸入未進行細緻地過濾，從而執行了非法的資料查詢。基於此，SQL注入的產生原因通常表現在以下幾方面：

　　①不當的型別處理；

　　②不安全的資料庫配置；

　　③不合理的查詢集處理；

　　④不當的錯誤處理；

　　⑤轉義字元處理不合適；

　　⑥多個提交處理不當。

防護：

　　1.永遠不要信任使用者的輸入。對使用者的輸入進行校驗，可以通過正則表示式，或限制長度；對單引號和雙"-"進行轉換等。

　　2.永遠不要使用動態拼裝sql，可以使用引數化的sql或者直接使用儲存過程進行資料查詢存取。

　　3.永遠不要使用管理員許可權的資料庫連線，為每個應用使用單獨的許可權有限的資料庫連線。

　　4.不要把機密資訊直接存放，加密或者hash掉密碼和敏感的資訊。

　　5.應用的異常資訊應該給出儘可能少的提示，最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝

　　6.sql注入的檢測方法一般採取輔助軟體或網站平臺來檢測，軟體一般採用sql注入檢測工具jsky，MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入，XSS攻擊等。

二、跨站指令碼攻擊(XSS，Cross-site scripting)

跨站指令碼攻擊（XSS）是最常見和基本的攻擊WEB網站的方法。攻擊者在網頁上釋出包含攻擊性程式碼的資料。當瀏覽者看到此網頁時，特定的指令碼就會以瀏覽者使用者的身份和許可權來執行。通過XSS可以比較容易地修改使用者資料、竊取使用者資訊，以及造成其它型別的攻擊，例如CSRF攻擊。

常見解決辦法:確保輸出到html頁面的資料以html的方式被轉義

出錯的頁面的漏洞也可能造成XSS攻擊，比如頁面/gift/giftList.htm?page=2找不到。出錯頁面直接把該url原樣輸出，如果攻擊者在url後面加上攻擊程式碼發給受害者，就有可能出現XSS攻擊

三、 跨站請求偽造攻擊（CSRF)

跨站請求偽造（CSRF，Cross-site request forgery）是另一種常見的攻擊。攻擊者通過各種方法偽造一個請求，模仿使用者提交表單的行為，從而達到修改使用者的資料，或者執行特定任務的目的。為了假冒使用者的身份，CSRF攻擊常常和XSS攻擊配合起來做，但也可以通過其它手段，例如誘使使用者點選一個包含攻擊的連結。

解決的思路有：

　　1.採用POST請求，增加攻擊的難度.使用者點選一個連結就可以發起GET型別的請求。而POST請求相對比較難，攻擊者往往需要藉助JavaScript才能實現

　　2.對請求進行認證，確保該請求確實是使用者本人填寫表單並提交的，而不是第三者偽造的.具體可以在會話中增加token,確保看到資訊和提交資訊的是同一個人

四、Http Heads攻擊

凡是用瀏覽器檢視任何WEB網站，無論你的WEB網站採用何種技術和框架，都用到了HTTP協議。HTTP協議在Response header和content之間，有一個空行，即兩組CRLF（0x0D 0A）字元。這個空行標誌著headers的結束和content的開始。“聰明”的攻擊者可以利用這一點。只要攻擊者有辦法將任意字元“注入”到 headers中，這種攻擊就可以發生。

以登陸為例：有這樣一個url：http://localhost/login?page=http%3A%2F%2Flocalhost%2Findex

當登入成功以後，需要重定向回page引數所指定的頁面。下面是重定向發生時的response headers。

HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/index

假如把URL修改一下，變成這個樣子：http://localhost/login?page=http%3A%2F%2Flocalhost%2Fcheckout%0D%0A%0D%0A%3Cscript%3Ealert%28%27hello%27%29%3C%2Fscript%3E

那麼重定向發生時的reponse會變成下面的樣子：

HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/checkout<CRLF>
<CRLF>
<script>alert('hello')</script>

避免這種攻擊的方法，就是過濾所有的response headers，除去header中出現的非法字元，尤其是CRLF。

伺服器一般會限制request headers的大小。例如Apache server預設限制request header為8K。如果超過8K，Aapche Server將會返回400 Bad Request響應：

對於大多數情況，8K是足夠大的。假設應用程式把使用者輸入的某內容儲存在cookie中,就有可能超過8K.攻擊者把超過8k的header連結發給受害 者,就會被伺服器拒絕訪問.解決辦法就是檢查cookie的大小,限制新cookie的總大寫，減少因header過大而產生的拒絕訪問攻擊。

五、Cookie攻擊

通過JavaScript非常容易訪問到當前網站的cookie。你可以開啟任何網站，然後在瀏覽器位址列中輸入：javascript:alert(doucment.cookie),立刻就可以看到當前站點的cookie（如果有的話）。攻擊者可以利用這個特性來取得你的關鍵資訊。例如，和XSS攻擊相配合，攻擊者在你的瀏覽器上執行特定的JavaScript指令碼，取得你的cookie。假設這個網站僅依賴cookie來驗證使用者身份，那麼攻擊者就可以假冒你的身份來做一些事情。

現在多數瀏覽器都支援在cookie上打上HttpOnly的標記,凡有這個標誌的cookie就無法通過JavaScript來取得,如果能在關鍵cookie上打上這個標記，就會大大增強cookie的安全性

六、重定向攻擊

一種常用的攻擊手段是“釣魚”。釣魚攻擊者，通常會發送給受害者一個合法連結，當連結被點選時，使用者被導向一個似是而非的非法網站，從而達到騙取使用者信任、竊取使用者資料的目的。為防止這種行為，我們必須對所有的重定向操作進行稽核，以避免重定向到一個危險的地方。常見解決方案是白名單，將合法的要重定向的url加到白名單中，非白名單上的域名重定向時拒之。第二種解決方案是重定向token，在合法的url上加上token，重定向時進行驗證。

七、上傳檔案攻擊

1.檔名攻擊，上傳的檔案採用上傳之前的檔名，可能造成：客戶端和服務端字元碼不相容，導致檔名亂碼問題；檔名包含指令碼，從而造成攻擊。

2.檔案字尾攻擊，上傳的檔案的字尾可能是exe可執行程式、js指令碼等檔案，這些程式可能被執行於受害者的客戶端，甚至可能執行於伺服器上。因此我們必須過濾檔名字尾，排除那些不被許可的檔名字尾。

3.檔案內容攻擊，IE6有一個很嚴重的問題，它不信任伺服器所傳送的content type，而是自動根據檔案內容來識別檔案的型別，並根據所識別的型別來顯示或執行檔案。如果上傳一個gif檔案，在檔案末尾放一段js攻擊指令碼，就有可能被執行。這種攻擊，它的檔名和content type看起來都是合法的gif圖片，然而其內容卻包含指令碼，這樣的攻擊無法用檔名過濾來排除，而是必須掃描其檔案內容，才能識別。