什么是网站漏洞？网站漏洞有哪些？

　　对于网站运维人员来说，网站漏洞是不容忽视的一个重要环节，目前网站遭到入侵大部分都是因为网站本身存在漏洞而导致的，因此为了网站的安全，网站漏洞一定要做好修复工作。那么什么是网站漏洞?网站漏洞有哪些?我们一起来了解一下。

什么是网站漏洞

　　什么是网站漏洞?网站漏洞，随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益.

　　简单来说，网站漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。但是目前基本上都是使用云服务器居多，所以在硬件上一般也不需要考虑，都是由云服务厂商承担，现在更多需要考虑的是软件、协议等方面的漏洞。

网站漏洞有哪些

　　网站漏洞有哪些?这里整理了目前比较常见的已发现的网站漏洞，仅供网友们参考。

　　1、明文传输

　　问题描述：对系统用户口令保护不足，攻击者可以利用攻击工具，从网络上窃取合法的用户口令数据。

　　修改建议：传输的密码必须加密。

　　注意：所有密码要加密。要复杂加密。不要用base64或md5。

　　2、sql注入

　　问题描述：攻击者利用sql注入漏洞，可以获取数据库中的多种信息，如：管理后台的密码，从而脱取数据库中的内容(脱库)。

　　修改建议：对输入参数进行过滤、校验。采用黑白名单方式。

　　注意：过滤、校验要覆盖系统内所有的参数。

　　SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断，攻击者通过Web页面的输入区域(如URL、表单等) ，用精心构造的SQL语句插入特殊字符和指令，通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行，攻击者可以利用SQL注入漏洞获得管理员权限，在网页上加挂木马和各种恶意程序，盗取企业和用户敏感信息。

　　SQL注入攻击原理

　　SQL注入攻击是通过构造巧妙的SQL语句，同网页提交的内容结合起来进行注入攻击。比较常用的手段有使用注释符号、恒等式(如1=1)、使用union语句进行联合查询、使用insert或update语句插入或修改数据等，此外还可以利用一些内置函数辅助攻击。

　　通过SQL注入漏洞攻击网站的步骤一般如下：

　　第一步：探测网站是否存在SQL注入漏洞。

　　第二步：探测后台数据库的类型。

　　第三步：根据后台数据库的类型，探测系统表的信息。

　　第四步：探测存在的表信息。

　　第五步：探测表中存在的列信息。

　　第六步：探测表中的数据信息。

　　3、跨站脚本攻击

　　问题描述：对输入信息没有进行校验，攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript，但实际上，也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功之后，攻击者可以拿到更高的权限。

　　修改建议：对用户输入进行过滤、校验。输出进行HTML实体编码。

　　注意：过滤、校验、HTML实体编码。要覆盖所有参数。

　　跨站脚本攻击的目的是盗走客户端敏感信息,冒充受害者访问用户的重要账户。跨站脚本攻击主要有以下三种形式：

　　1、本地跨站脚本攻击

　　B给A发送一个恶意构造的Web URL，A点击查看了这个URL，并将该页面保存到本地硬盘(或B构造的网页中存在这样的功能)。A在本地运行该网页，网页中嵌入的恶意脚本可以A电脑上执行A持有的权限下的所有命令。

　　2、反射跨站脚本攻击

　　A经常浏览某个网站，此网站为B所拥有。A使用用户名/密码登录B网站，B网站存储下A的敏感信息(如银行帐户信息等)。C发现B的站点包含反射跨站脚本漏洞，编写一个利用漏洞的URL，域名为B网站，在URL后面嵌入了恶意脚本(如获取A的cookie文件)，并通过邮件或社会工程学等方式欺骗A访问存在恶意的URL。当A使用C提供的URL访问B网站时，由于B网站存在反射跨站脚本漏洞，嵌入到URL中的恶意脚本通过Web服务器返回给A，并在A浏览器中执行，A的敏感信息在完全不知情的情况下将发送给了C。

　　3、持久跨站脚本攻击

　　B拥有一个Web站点，该站点允许用户发布和浏览已发布的信息。C注意到B的站点具有持久跨站脚本漏洞，C发布一个热点信息，吸引用户阅读。A一旦浏览该信息，其会话cookies或者其它信息将被C盗走。持久性跨站脚本攻击一般出现在论坛、留言簿等网页，攻击者通过留言，将攻击数据写入服务器数据库中，浏览该留言的用户的信息都会被泄漏。

　　4、文件上传漏洞

　　问题描述：没有对文件上传限制，可能会被上传可执行文件，或脚本文件。进一步导致服务器沦陷。

　　修改建议：严格验证上传文件，防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证，防止用户上传非法文件。

　　5、敏感信息泄露

　　问题描述：系统暴露内部信息，如：网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

　　修改建议：对用户输入的异常字符过滤。屏蔽一些错误回显，如自定义404、403、500等。

　　6、命令执行漏洞

　　问题描述：脚本程序调用如php的system、exec、shell_exec等。

　　修改建议：打补丁，对系统内需要执行的命令要严格限制。

　　命令执行漏洞是通过URL发起请求，在Web服务器端执行未授权的命令，获取系统信息，篡改系统配置，控制整个系统，使系统瘫痪等。

　　命令执行漏洞主要有两种情况：

　　通过目录遍历漏洞，访问系统文件夹，执行指定的系统命令;

　　攻击者提交特殊的字符或者命令，Web程序没有进行检测或者绕过Web程序过滤，把用户提交的请求作为指令进行解析，导致执行任意命令。

　　7、CSRF(跨站请求伪造)

　　问题描述：使用已经登陆用户，在不知情的情况下执行某种动作的攻击。

　　修改建议：添加token验证。时间戳或这图片验证码。

　　跨站脚本漏洞是因为Web程序时没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏览器自动执行，从而达到攻击的目的。跨站脚本漏洞危害很大，尤其是目前被广泛使用的网络银行，通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户，盗窃企业重要信息。

　　8、SSRF漏洞

　　问题描述：服务端请求伪造。

　　修改建议：打补丁，或者卸载无用的包

　　9、默认口令、弱口令

　　问题描述：因为默认口令、弱口令很容易让人猜到。

　　修改建议：加强口令强度不适用弱口令

　　注意：口令不要出现常见的单词。如：root123456、admin1234、qwer1234、p ssw0rd等。

　　Web漏洞的防御实现

　　对于以上常见的Web漏洞漏洞，可以从如下几个方面入手进行防御：

　　1)对 Web开发者而言

　　大部分Web常见漏洞，都是在Web开发中，开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以，Web开发者应该树立很强的安全意识，开发中编写安全代码;对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web代码，可以消除绝大部分的Web安全问题。

　　2) 对Web网站管理员而言

　　作为负责网站日常维护管理工作Web管理员，应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击。

　　除了软件本身的漏洞外，Web服务器、数据库等不正确的配置也可能导致Web安全问题。Web网站管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能。

　　此外，Web管理员还应该定期审计Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问题。

　　3)使用网络防攻击设备

　　前两种为事前预防方式，是比较理想化的情况。然而在现实中，Web系统的漏洞还是不可避免的存在：部分Web网站已经存在大量的安全漏洞，而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。由于Web是采用HTTP协议，普通的防火墙设备无法对Web类攻击进行防御，因此可以使用IPS入侵防御设备来实现安全防护。

　　此Web攻击防御框架有如下几个特点：

　　1) 构造完整的Web攻击检测模型，准确识别各种Web攻击

　　针对Web攻击的特点，考虑到各种Web攻击的原理和形态，在不同漏洞模型之上开发出通用的、层次化的Web攻击检测模型，并融合到特征库中。这些模型抽象出Web攻击的一般形态，对主流的攻击能够准确识别，使得模型通用化。

　　2) 检测方式灵活，可以准确识别变形的Web攻击

　　在实际攻击中，攻击者为了逃避防攻击设备的检测，经常对Web攻击进行变形，如采用URL编码技术、修改参数等。H3C根据Web漏洞发生的原理、攻击方式和攻击目标，对攻击特征进行了扩展。即使攻击者修改攻击参数、格式、语句等内容，相同漏洞原理下各种变形的攻击同样能够被有效阻断。这使得IPS的防御范围扩大，防御的灵活性也显著增强，极大的减少了漏报情况的出现。

　　3) 确保对最新漏洞及技术的跟踪，有效阻止最新的攻击

　　随着Web攻击出现的频率日益增高，其危害有逐步扩展的趋势。这对IPS设备在防御的深度和广度上提出了更高的要求，不仅要能够防御已有的Web攻击，更要有效的阻止最新出现的、未公布的攻击。目前，H3C已经建立起一套完整的攻防试验环境，可以及时发现潜在Web安全漏洞。同时还在继续跟踪最新的Web攻击技术和工具，及时更新Web攻击的特征库，第一时间发布最新的Web漏洞应对措施，确保用户的网络不受到攻击。

　　4) 保证正常业务的高效运行

　　检测引擎是IPS整个设备运行的关键，该引擎使用了高效、准确的检测算法，对通过设备的流量进行深层次的分析，并通过和攻击特征进行匹配，检测流量是否存在异常。如果流量没有匹配到攻击特征，则允许流量通过，不会妨碍正常的网络业务，在准确防御的同时保证了正常业务的高效运行。

　　关于什么是网站漏洞以及网站漏洞有哪些就为大家介绍到这里，上面也顺便有提到了一些web安全的防御措施，有需要的朋友也可以自行参考。如果不知道怎么修复网站漏洞，也可以下载网站安全狗这款软件对网站进行全面的检查和修复，可以帮助网站提升防护等级，非常方便。