1、一、SQL注入(zh r)漏洞 SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網站控制權，是發生在應用程序的數據庫層上的安全漏洞。在設計(shj)程序，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數據庫誤認為是正常的SQL指令而運行，從而使數據庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入后門程序等危害。通常情況下，SQL注入的位置(wi zhi)包括： （1）表單提交，主要是POST請求，也包括GET請求； （2）URL參數提交，主要為GET請求參數； （3）Cookie參數提交； （4）HTTP請求頭部的一

2、些可修改的值，比如Referer、User_Agent等； （5）一些邊緣的輸入點，比如(br).mp3文件的一些文件信息等。SQL注入的危害不僅體現在數據庫層面上，還有可能危及承載(chngzi)數據庫的操作系統；如果SQL注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不局限于：（1）數據庫信息(xnx)泄漏：數據庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，數據庫里往往保存著各類的隱私信息，SQL注入攻擊能導致這些隱私信息透明于攻擊者。（2）網頁篡改：通過操作數據庫對特定網頁進行篡改。（3）網站被掛馬，傳播惡意軟件：修改數據庫一些字段的值，嵌入網馬鏈接，進行掛馬攻擊。（4）

3、數據庫被惡意操作：數據庫服務器被攻擊，數據庫的系統管理員帳戶被篡改。（5）服務器被遠程控制，被安裝后門。經由數據庫服務器提供的操作系統支持，讓黑客得以修改或控制操作系統。（6）破壞硬盤數據，癱瘓(tnhun)全系統。解決SQL注入(zh r)問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對數據庫配置使用最小權限原則。 通常使用的方案有：（1）所有的查詢語句都使用數據庫提供的參數化查詢接口，參數化的語句使用參數而不是(b shi)將用戶輸入變量嵌入到SQL語句中。當前幾乎所有的數據庫系統都提供了參數化SQL語句執行接口，使用此接口可以非常有效的防止SQL注入攻擊。（2）對進入數據庫的特

4、殊字符（&*;等）進行轉義處理，或編碼轉換。（3）確認每種數據的類型，比如數字型的數據就必須是數字，數據庫中的存儲字段必須對應為int型。（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL注入語句無法正確執行。 （5）網站每個數據層的編碼統一，建議全部使用UTF-8編碼，上下層編碼不一致(yzh)有可能導致一些過濾模型被繞過。 （6）嚴格限制網站用戶的數據庫的操作權限，給此用戶提供僅僅能夠滿足(mnz)其工作的權限，從而最大限度的減少注入攻擊對數據庫的危害。 （7）避免網站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進行(jnxng)一些判斷。 （8）在

5、網站發布之前建議使用一些專業的SQL注入檢測工具進行檢測，及時修補這些SQL注入漏洞。二、跨站腳本漏洞 跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發生在客戶端，可被用于進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。 XSS攻擊使用到的技術主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害，但是它借助網站進行傳播，使網站的使用用戶(yngh)受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。XSS類型(lixng)包括： （1）非持久型跨站：即反射型跨站腳本漏洞，是

6、目前最普遍的跨站類型。跨站代碼一般存在于鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如數據庫中）。上面章節(zhngji)所舉的例子就是這類情況。 （2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲于服務端（比如數據庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript代碼。 （3）DOM跨站（DOM XSS）：是一種(y zhn)發生在客戶端DOM（Document Object Model文檔對象模型）中的跨站漏洞，很大原因是因為客

7、戶端腳本處理邏輯導致的安全問題。XSS的危害(wihi)包括： （1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本(jiobn)漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript以監控目標網站的表單輸入，甚至發起基于DHTML更高級的釣魚攻擊方式。（2）網站掛馬：跨站時利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。 （3）身份盜用：Cookie是用戶對于特定網站的身份驗證標志，XSS可以盜取到用戶的Cookie，從而利用該Cookie盜取用戶對該網站的操作權限。如果一個網站管理員用戶Cookie被竊取，將會對

8、網站引發巨大的危害。 （4）盜取網站用戶信息：當能夠竊取到用戶Cookie從而(cng r)獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作權限，從而查看用戶隱私信息。 （5）垃圾信息發送：比如在SNS社區(sh q)中，利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。 （6）劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，監視用戶的瀏覽(li ln)歷史，發送與接收的數據等等。 （7）XSS蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。常用的防止XSS技術包括： （1）與SQL注入防護的建議一樣，假定所有輸

9、入都是可疑的，必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請求中的Cookie中的變量，HTTP請求頭部中的變量等。（2）不僅要驗證數據的類型，還要驗證其格式(g shi)、長度、范圍和內容。（3）不要僅僅在客戶端做數據的驗證(ynzhng)與過濾，關鍵的過濾步驟在服務端進行。 （4）對輸出的數據也要檢查，數據庫里的值有可能會在一個(y )大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。 （5）在發布應用程序之前測試所有已知的威脅。三、弱口令漏洞 弱口令(weak passwor

10、d) 沒有嚴格和準確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則： （1）不使用(shyng)空口令或系統缺省的口令，這些口令眾所周之，為典型的弱口令。 （2）口令(kulng)長度不小于8個字符。 （3）口令(kulng)不應該為連續的某個字符（例如：AAAAAAAA）或重復某些字符的組合（例如：tzf.tzf.）。 （4）口令應該為以下四類字符的組合，大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個，那么該字符不應為首字符或尾字符。 （5）口令中不應包含本人、

11、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息，以及字典中的單詞。 （6）口令不應該為用數字或符號代替某些字母的單詞。 （7）口令應該易記且可以(ky)快速輸入，防止他人從你身后很容易看到你的輸入。 （8）至少90天內更換一次口令，防止(fngzh)未被發現的入侵者繼續使用該口令。四、HTTP報頭(botu)追蹤漏洞 HTTP/1.1（RFC2616）規范定義了HTTP TRACE方法，主要是用于客戶端通過向Web服務器提交TRACE請求來進行測試或獲得診斷信息。當Web服務器啟用TRACE時，提交的請求頭會在服務器響應的內容（Body）中完整的返回，

12、其中HTTP頭很可能包括Session Token、Cookies或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由于HTTP TRACE請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest），并可以通過DOM接口來訪問，因此很容易被攻擊者利用。 防御HTTP報頭追蹤漏洞的方法通常禁用HTTP TRACE方法。五、Struts2遠程命令執行漏洞 Apache Struts是一款建立Java web應用程序的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤(cuw)，如果遇到轉換錯誤可被利用注入和執行任意Ja

13、va代碼。網站存在遠程代碼執行漏洞的大部分原因(yunyn)是由于網站采用了Apache Struts Xwork作為網站應用框架，由于該軟件存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD處置過諸多此類漏洞，例如：“GPS車載(ch zi)衛星定位系統”網站存在遠程命令執行漏洞(CNVD-2012-13934)；Aspcms留言本遠程代碼執行漏洞（CNVD-2012-11590）等。 修復此類漏洞，只需到Apache官網升級Apache Struts到最新版本：六、框架釣魚漏洞（框架注入漏洞） 框架注入攻擊是針對Internet Explorer 5、Internet Explorer

14、 6、與 Internet Explorer 7攻擊的一種。這種攻擊導致Internet Explorer不檢查結果框架的目的網站，因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因于腳本并不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。 如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法并不可行。 因此，通常使用命名(mng mng)框架，但在每個會話中使用不同的框架，并且使用無法預測

15、的名稱。一種可行的方法是在每個基本的框架名稱后附加用戶的會話令牌，如main_display。七、文件(wnjin)上傳漏洞 文件上傳漏洞通常由于網頁(wn y)代碼中的文件上傳路徑變量過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，攻擊者可通過 Web 訪問的目錄上傳任意文件，包括網站后門文件（webshell），進而遠程控制網站服務器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止(jnzh)上傳惡意代碼的文件。同時限制相關目錄的執行權限，防范webshell攻擊。八、應用程序測試(csh)腳本泄露 由于測試腳本對提交的參數數據缺少充

16、分過濾，遠程攻擊者可以利用洞以WEB進程權限(qunxin)在系統上查看任意文件內容。防御此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。九、私有IP地址泄露漏洞 IP地址是網絡用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網絡情況采取不同的方法，如：在局域網內使用Ping指令，Ping對方在網絡中的名稱而獲得IP；在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲并分析對方的網絡數據包。攻擊者可以找到并直接通過軟件解析截獲后的數據包的IP包頭信息，再根據這些信息了解具體的IP。 針對最有效的“數據包分析方法”而言，就可以安裝能夠自動去掉發送數據

17、包包頭IP信息的一些軟件。不過使用這些軟件有些缺點，譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶采用最普及隱藏IP的方法應該是使用代理，由于使用代理服務器后，“轉址服務”會對發送出去的數據包有所修改，致使“數據包分析”的方法失效。一些容易泄漏用戶IP的網絡軟件(QQ、MSN、IE等)都支持使用代理方式連接Internet，特別是QQ使用“ezProxy”等代理軟件連接后，IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理，查找到對方的真實IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。十、未加密(ji m)登錄請求 由于Web配置不安全，登陸請求把諸如(zhr)用戶名和密碼等敏感字段未加密進行傳輸，攻擊者可以竊聽網絡以劫獲這些敏感信息。建議進行例如SSH等的加密后再傳輸