網站(zhàn)建設

登錄驗證漏洞

①登錄驗證漏洞指的是攻擊者繞過登錄時(shí)的驗證系統直接進入到其他頁面的漏洞。例如有(yǒu)些(xiē)網站(zhàn)的頁面沒有(yǒu)做(zuò)用戶登錄驗證系統功能設計(jì)。那(nà)麽，攻擊者在收集到網站(zhàn)的頁面完整路徑和(hé)文件名後，在浏覽器(qì)的地址欄中直接輸入完整URL路徑，就可(kě)以不進行(xíng)驗證而進入指定頁面。

②登錄驗證漏洞的另一種是登錄驗證頁面漏洞。多(duō)數(shù)網站(zhàn)都有(yǒu)登錄頁面，要求用戶輸入正确的用戶名和(hé)密碼後才可(kě)以進入頁面，而驗證系統都是通(tōng)過判定用戶輸入的用戶名和(hé)密碼是否存在于數(shù)據庫中來(lái)進行(xíng)。但(dàn)是，如果程序設計(jì)的不夠嚴謹，則會(huì)出現這種漏洞。

SQL注入漏洞

在網頁設計(jì)中，多(duō)數(shù)人(rén)機交互操作(zuò)都是利用表單來(lái)實現的，如果在設計(jì)過程中沒有(yǒu)對用戶輸入數(shù)據的正當性進行(xíng)判定的話(huà)，攻擊者可(kě)以在文本框中提交一段SL查詢代碼，根據程序返回的結果，獲得(de)某些(xiē)他想得(de)知的數(shù)據，這就是SL注入。

文件上(shàng)傳的漏洞

文件上(shàng)傳漏洞指的是網絡攻擊者上(shàng)傳了一個(gè)可(kě)執行(xíng)的惡意代碼到服務器(qì)并被執行(xíng)。在我們平時(shí)常用的很(hěn)多(duō)網站(zhàn)中，例如電(diàn)子郵件網站(zhàn)、論壇等很(hěn)多(duō)網站(zhàn)中，都允許用戶上(shàng)傳文件、圖片、視(shì)頻等內(nèi)容到網站(zhàn)服務器(qì)中。如果網站(zhàn)的開(kāi)發人(rén)員沒有(yǒu)做(zuò)好身份的認證和(hé)數(shù)據的過濾排查，很(hěn)有(yǒu)可(kě)能被黑(hēi)客利用。黑(hēi)客可(kě)以利用如 Telnet服務等功能對網站(zhàn)內(nèi)容和(hé)數(shù)據進行(xíng)修改和(hé)破壞。這裏上(shàng)傳的惡意文件可(kě)以是木馬程序、病毒， Welsher或者惡意腳本等。這種攻擊方式直接、簡單又有(yǒu)效。

網站(zhàn)缺乏授權대

有(yǒu)些(xiē)網站(zhàn)在進行(xíng)網頁編程設計(jì)時(shí)，程序設計(jì)人(rén)員往往會(huì)使用比較繁瑣的網絡安全配置，使得(de)網站(zhàn)往往缺乏授權，這就造成了網絡服務在其應用運行(xíng)中出現非常巨大(dà)的網絡運行(xíng)安全缺陷。利用這些(xiē)安全缺陷，網絡黑(hēi)客們可(kě)以很(hěn)容易地對網站(zhàn)的網絡服務器(qì)進行(xíng)遠程的入侵和(hé)破壞，給網站(zhàn)的安全和(hé)企業的經濟利益帶來(lái)了巨大(dà)的威脅和(hé)危害。再加上(shàng)軟件設置的密碼簡單或是網絡入口的防火(huǒ)牆性能設置過低(dī)等安全缺陷，也可(kě)以讓網絡黑(hēi)客和(hé)網絡病毒能夠非常容易的對網站(zhàn)造成侵入和(hé)破壞。

網頁病毒的傳播

網頁病毒是現今最常見的安全攻擊。病毒具有(yǒu)寄生(shēng)性、傳染性、可(kě)觸發性等特點。這些(xiē)計(jì)算(suàn)機病毒都是攻擊者事先設計(jì)好的可(kě)執行(xíng)文件。例如在網站(zhàn)設計(jì)文件中嵌入 Script語言編寫的惡意代碼，這種 Script 1代碼可(kě)以利用浏覽器(qì)的漏洞來(lái)實現病毒植入。當用戶登錄這些(xiē)網站(zhàn)時(shí)，編寫好的Scip代碼會(huì)被執行(xíng)，網頁病毒一旦被觸發，就可(kě)以對網頁服務器(qì)資源進行(xíng)簒改。例如，我們在上(shàng)網時(shí)經常會(huì)發現打開(kāi)某個(gè)頁面後，360安全衛士會(huì)提醒有(yǒu)程序正在修改浏覽器(qì)首頁。這就是網頁病毒的一種現象。病毒和(hé)木馬程序也有(yǒu)可(kě)能會(huì)關閉網頁中的部分功能，使得(de)用戶無法正常使用網站(zhàn)系統等。最簡單的方式就是網頁自動跳(tiào)轉程序，而這種網頁病毒編寫起來(lái)比較容易，而且攻擊也很(hěn)直接。