王松 苏文萍
摘 要:本文针对Web网站的常见漏洞如SQL注入,管理入口暴露,HTTP 错误响应的状态代码等问题进行研究并提出相应的解决建议,提高网站的安全防护能力。
关 键 词:Web;网站;漏洞;SQL注入
0 引言
随着互联网的飞速发展,网站遭到黑客攻击的频率和影响也越来越大。2011年CSDN网站因遭遇黑客攻击,600万用户的个人信息被泄露,由于很多用户在不同的网站使用的都是相同的用户名和密码,由此可能导致用户在淘宝等网上支付网站的账号也一并泄露,造成重大经济损失。2011年瑞星发布年度企业安全报告,2011年有接近20万个企业网站曾被成功入侵,其中教育科研网站和政府网站分别占总体数量的31%和15%,造成极其恶劣的社会影响。本文针对Web网站的常见漏洞如SQL注入,管理入口暴露,网站目录信息泄露等问题进行研究并提出相应的解决建议,提高网站的安全防护能力。
1 Web网站常见漏洞及防御策略
1.1 SQL注入
1.3 网站目录信息泄露
网站目录信息泄露[5]对于网站的安全也是一个很大的隐患,网站上的任何信息都有可能被攻击者所利用,网站目录信息就是其中之一。网络攻击者一般在攻击之前都会先对准备攻击的网站进行扫描,以获得目标网站的信息,其中一个就是通过HTTP 错误响应的状态代码来获得网站的目录信息。HTTP 403错误是网站访问过程中常见的错误提示。其含义为资源不可用,服务器理解客户的请求,但拒绝处理它。通过这个错误状态代码攻击者可以清楚地知道网站的目录结构。常用的办法是将所有网站出错信息都重定向到一个错误页面,或者一个简单的办法可以将HTTP 403错误响应的状态代码修改为HTTP 404错误响应的状态代码,这样可以将网站的目录模糊化,防止一些扫描器的扫描,增强了网站的安全性。
2 总结
本文通过对Web网站的常见漏洞如SQL注入,管理入口暴露,网站目录信息泄露等问题的原理和方法进行分析阐述,并给出较为简单实用的堵漏建议,对提高网站的安全防护能力起到一定作用。
参考文献
[1] JustinClarke.SQL 注入攻击与防御[M].北京:清华大学出版社,2010.
[2] 王云,郭外萍,陈承欢.Web项目中的SQL注入问题研究与防范方法[J].计算机工程与设计,2010,31(5):976-978.
[3] 刘帅.SQL注入攻击及其防范检测技术的研究[J].电脑知识与技术, 2009,5(28):7870-7872.
[4] 杨云.无懈可击—全方位构建案例Web系统[M].北京:清华大学出版社,2012.
[5] 武新华,孙世宁.网站入侵与脚本技术快速防杀[M].北京:电子工业出版社,2011.