网站安全应用：对预防SQL注入的几点建议

    从2011年底的泄密门，到2012新年才刚刚过去的短短一个月时间里发生的所有和网络安全相关的热门事件，黑客带给了我们太多的震撼。当你打开百度新闻搜索“黑客”关键字时能看到什么?没错，有太多知名的网站被黑客攻破，有太多牛X的IT系统对黑客来说如入无人之境……

    进入WEB2.0时代，我们的IT当真变得如此脆弱了吗?记得在一次有关安全的研讨会上，有专家谈到了这样的观点：互联网在设计之初，也没能预想到互联网会发展成现在的庞大规模，如果互联网依然只应用于教育网、科研网，就不会有这么多的问题，难道我们真得需要在重新织一张网?虽然这只是一种假设，也可能是未来创新的一个星星之火，但在现阶段，还是让我们收回思想的翅膀，来解决实际中的问题吧!

    网站安全在经历了2011年底的泄密门之后，得到了各方面的重视，互联网企业开始重新审视自身的安全性、安全厂商开始更多的关注这方面的问题并推出了相应的解决方案、政府也在从法律法规方面对网站安全进行了相关的规定(未证实消息：中国的萨班斯法案在今年也将出台)。

    近日，小编从国内知名的漏洞报告平台WooYun.org上得到了以下几张图，图中标注的是各企业网站所存在的漏洞类型和造成系统漏洞的主要原因：

写给IT运维人员的几点建议

▲点击图片查看大图

    从上图我们可以不难找出企业网站存在安全风险的几个同共点：XSS跨站脚本攻击、SQL注入漏洞、后台弱口令、系统/服务运维配置不当以及系统/服务补丁不及时……下面我们就从这主要的几点开始和大家一起探讨：

    1、 XSS跨站脚本攻击

     上图所列出的互联网企业有门户网站、行业网站、视频网站、旅游网站等，从不同类型的网站我们可以看出，XSS跨站脚本攻击是黑客使用最普遍的攻击方式，这里我们为大家整理了XSS跨站脚本攻击的原理，希望能对大家有帮助。

    小白一下：XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。

    跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至可以模拟用户当前的操作。这里介绍一种新式攻击方法：XSS Phishing(跨站脚本钓鱼攻击)，利用这种方式可以直接盗取用户的密码，下面我就拿最近PHPWIND论坛所暴出的XSS做一下演示，PHPWIND对上传文件名没有处理严格，导致可以写入跨站脚本。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!