Web网站常见漏洞及防御策略研究

Web网站常见漏洞及防御策略研究

原文作者：王松、苏文萍

摘要：本文针对Web站的常见漏洞如SQL注入，管理入口暴露，HTTP 错误响应的状态代码等问题进行研究并提出相应的解决建议，提高站的安全防护能力。

关键词：Web；站；漏洞；SQL注入

0 引言

随着互联的飞速发展，站遭到黑客攻击的频率和影响也越来越大。20XX年CSDN站因遭遇黑客攻击，600万用户的个人信息被泄露，由于很多用户在不同的站使用的都是相同的用户名和密码，由此可能导致用户在淘宝等上支付站的账号也一并泄露，造成重大经济损失。20XX年瑞星发布年度安全报告，20XX年有接近20万个站曾被成功入侵，其中教育科研站和政府站分别占总体数量的31%和15%，造成极其恶劣的社会影响。本文针对Web站的常见漏洞如SQL注入，管理入口暴露，站目录信息泄露等问题进行研究并提出相应的解决建议，提高站的安全防护能力。 [ 论文]

1 Web站常见漏洞及防御策略

SQL注入

站目录信息泄露

站目录信息泄露对于站的安全也是一个很大的隐患，站上的任何信息都有可能被攻击者所利用，站目录信息就是其中之一。络攻击者一般在攻击之前都会先对准备攻击的站进行扫描，以获得目标站的信息，其中一个就是通过HTTP 错误响应的状态代码来获得站的目录信息。HTTP 403错误是站访问过程中常见的错误提示。其含义为资源不可用，服务器理解客户的请求，但拒绝处理它。通过这个错误状态代码攻击者可以清楚地知道站的目录结构。常用的办法是将所有站出错信息都重定向到一个错误页面，或者一个简单的办法可以将HTTP 403错误响应的状态代码修改为HTTP 404错误响应的状态代码，这样可以将站的目录模糊化，防止一些扫描器的扫描，增强了站的安全性。

2 总结

本文通过对Web站的常见漏洞如SQL注入，管理入口暴露，站目录信息泄露等问题的原理和方法进行分析阐述，并给出较为简单实用的堵漏建议，对提高站

的安全防护能力起到一定作用。

参考文献

注入攻击与防御[M].北京：清华大学出版社，20XX.

王云，郭外萍，陈承欢.Web项目中的SQL注入问题研究与防范方法[J].计算机工程与设计，20XX，31（5）：976-978.

刘帅.SQL注入攻击及其防范检测技术的研究[J].电脑知识与技术， 20XX，5（28）：7870-7872.

杨云.无懈可击—全方位构建案例Web系统[M].北京：清华大学出版社，20XX.

武新华，孙世宁.站入侵与脚本技术快速防杀[M].北京：电子工业出版社，20XX.