Web網(wǎng)站常見(jiàn)漏洞及防御策略研究

王松　蘇文萍

摘 要：本文針對(duì)Web網(wǎng)站的常見(jiàn)漏洞如SQL注入，管理入口暴露，HTTP 錯(cuò)誤響應(yīng)的狀態(tài)代碼等問(wèn)題進(jìn)行研究并提出相應(yīng)的解決建議，提高網(wǎng)站的安全防護(hù)能力。

關(guān) 鍵 詞：Web；網(wǎng)站；漏洞；SQL注入

0 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)站遭到黑客攻擊的頻率和影響也越來(lái)越大。2011年CSDN網(wǎng)站因遭遇黑客攻擊，600萬(wàn)用戶的個(gè)人信息被泄露，由于很多用戶在不同的網(wǎng)站使用的都是相同的用戶名和密碼，由此可能導(dǎo)致用戶在淘寶等網(wǎng)上支付網(wǎng)站的賬號(hào)也一并泄露，造成重大經(jīng)濟(jì)損失。2011年瑞星發(fā)布年度企業(yè)安全報(bào)告，2011年有接近20萬(wàn)個(gè)企業(yè)網(wǎng)站曾被成功入侵，其中教育科研網(wǎng)站和政府網(wǎng)站分別占總體數(shù)量的31%和15%，造成極其惡劣的社會(huì)影響。本文針對(duì)Web網(wǎng)站的常見(jiàn)漏洞如SQL注入，管理入口暴露，網(wǎng)站目錄信息泄露等問(wèn)題進(jìn)行研究并提出相應(yīng)的解決建議，提高網(wǎng)站的安全防護(hù)能力。

1 Web網(wǎng)站常見(jiàn)漏洞及防御策略

1.1 SQL注入

1.3 網(wǎng)站目錄信息泄露

網(wǎng)站目錄信息泄露[5]對(duì)于網(wǎng)站的安全也是一個(gè)很大的隱患，網(wǎng)站上的任何信息都有可能被攻擊者所利用，網(wǎng)站目錄信息就是其中之一。網(wǎng)絡(luò)攻擊者一般在攻擊之前都會(huì)先對(duì)準(zhǔn)備攻擊的網(wǎng)站進(jìn)行掃描，以獲得目標(biāo)網(wǎng)站的信息，其中一個(gè)就是通過(guò)HTTP 錯(cuò)誤響應(yīng)的狀態(tài)代碼來(lái)獲得網(wǎng)站的目錄信息。HTTP 403錯(cuò)誤是網(wǎng)站訪問(wèn)過(guò)程中常見(jiàn)的錯(cuò)誤提示。其含義為資源不可用，服務(wù)器理解客戶的請(qǐng)求，但拒絕處理它。通過(guò)這個(gè)錯(cuò)誤狀態(tài)代碼攻擊者可以清楚地知道網(wǎng)站的目錄結(jié)構(gòu)。常用的辦法是將所有網(wǎng)站出錯(cuò)信息都重定向到一個(gè)錯(cuò)誤頁(yè)面，或者一個(gè)簡(jiǎn)單的辦法可以將HTTP 403錯(cuò)誤響應(yīng)的狀態(tài)代碼修改為HTTP 404錯(cuò)誤響應(yīng)的狀態(tài)代碼，這樣可以將網(wǎng)站的目錄模糊化，防止一些掃描器的掃描，增強(qiáng)了網(wǎng)站的安全性。

2 總結(jié)

本文通過(guò)對(duì)Web網(wǎng)站的常見(jiàn)漏洞如SQL注入，管理入口暴露，網(wǎng)站目錄信息泄露等問(wèn)題的原理和方法進(jìn)行分析闡述，并給出較為簡(jiǎn)單實(shí)用的堵漏建議，對(duì)提高網(wǎng)站的安全防護(hù)能力起到一定作用。

參考文獻(xiàn)

[1] JustinClarke.SQL 注入攻擊與防御[M].北京：清華大學(xué)出版社，2010.

[2] 王云，郭外萍，陳承歡.Web項(xiàng)目中的SQL注入問(wèn)題研究與防范方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，31（5）：976-978.

[3] 劉帥.SQL注入攻擊及其防范檢測(cè)技術(shù)的研究[J].電腦知識(shí)與技術(shù)， 2009，5（28）：7870-7872.

[4] 楊云.無(wú)懈可擊—全方位構(gòu)建案例Web系統(tǒng)[M].北京：清華大學(xué)出版社，2012.

[5] 武新華，孫世寧.網(wǎng)站入侵與腳本技術(shù)快速防殺[M].北京：電子工業(yè)出版社，2011.