Web网站常见漏洞及防御策略研究
作者:王松 苏文萍
来源:《软件工程师》2013年第09
        要:本文针对Web网站的常见漏洞如SQL注入,管理入口暴露,HTTP 错误响应的状态代码等问题进行研究并提出相应的解决建议,提高网站的安全防护能力。
        词:Web;网站;漏洞;SQL注入
spring framework框架漏洞        0 引言
        随着互联网的飞速发展,网站遭到黑客攻击的频率和影响也越来越大。2011CSDN网站因遭遇黑客攻击,600万用户的个人信息被泄露,由于很多用户在不同的网站使用的都是相同的用户名和密码,由此可能导致用户在淘宝等网上支付网站的账号也一并泄露,造成重大经济损失。2011年瑞星发布年度企业安全报告,2011年有接近20万个企业网站曾被成功入侵,其中教育科研网站和政府网站分别占总体数量的31%15%,造成极其恶劣的社会影响。本文针对Web网站的常见漏洞如SQL注入,管理入口暴露,网站目录信息泄露等问题进行研究并提出相应的解决建议,提高网站的安全防护能力。
        1 Web网站常见漏洞及防御策略
        1.1 SQL注入
        1.3 网站目录信息泄露
        网站目录信息泄露[5]对于网站的安全也是一个很大的隐患,网站上的任何信息都有可能被攻击者所利用,网站目录信息就是其中之一。网络攻击者一般在攻击之前都会先对准备攻击的网站进行扫描,以获得目标网站的信息,其中一个就是通过HTTP 错误响应的状态代码来获得网站的目录信息。HTTP 403错误是网站访问过程中常见的错误提示。其含义为资源不可用,服务器理解客户的请求,但拒绝处理它。通过这个错误状态代码攻击者可以清楚地知道网站的目录结构。常用的办法是将所有网站出错信息都重定向到一个错误页面,或者一个简单的办法可以将HTTP 403错误响应的状态代码修改为HTTP 404错误响应的状态代码,这样可以将网站的目录模糊化,防止一些扫描器的扫描,增强了网站的安全性。
        2 总结
        本文通过对Web网站的常见漏洞如SQL注入,管理入口暴露,网站目录信息泄露等问题
的原理和方法进行分析阐述,并给出较为简单实用的堵漏建议,对提高网站的安全防护能力起到一定作用。
        参考文献
        [1] JustinClarke.SQL 注入攻击与防御[M].北京:清华大学出版社,2010.
        [2] 王云,郭外萍,陈承欢.Web项目中的SQL注入问题研究与防范方法[J].计算机工程与设计,2010315):976-978.
        [3] 刘帅.SQL注入攻击及其防范检测技术的研究[J].电脑知识与技术, 2009528):7870-7872.
        [4] 杨云.无懈可击全方位构建案例Web系统[M].北京:清华大学出版社,2012.
        [5] 武新华,孙世宁.网站入侵与脚本技术快速防杀[M].北京:电子工业出版社,2011.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。