Web网站常见漏洞及防御策略研究

摘 要：本文针对web网站的常见漏洞如SQL注入，管理入口暴露，HTTP 错误响应的状态代码等问题进行研究并提出相应的解决建议，提高网站的安全防护能力。

关 键 词：Web；网站；漏洞；SQL注入

0 引言

随着互联网的飞速发展，网站遭到黑客攻击的频率和影响也越来越大。2011年CSDN网站因遭遇黑客攻击，600万用户的个人信息被泄露，由于很多用户在不同的网站使用的都是相同的用户名和密码，由此可能导致用户在淘宝等网上支付网站的账号也一并泄露，造成重大经济损失。2011年瑞星年度企业安全报告，2011年有接近20万个企业网站曾被成功入侵，其中教育科研网站和政府网站分别占总体数量的31%和15%，造成极其恶劣的社会影响。本文针对Web网站的常见漏洞如SQL注入，管理入口暴露，网站目录信息泄露等问题进行研究并提出相应的解决建议，提高网站的安全防护能力。

1 Web网站常见漏洞及防御策略

1.1 SQL注入

1.3 网站目录信息泄露

网站目录信息泄露[5]对于网站的安全也是一个很大的隐患，网站上的任何信息都有可能被攻击者所利用，网站目录信息就是其中之一。网络攻击者一般在攻击之前都会先对准备攻击的网站进行扫描，以获得目标网站的信息，其中一个就是通过HTTP 错误响应的状态代码来获得网站的目录信息。HTTP 403错误是网站访问过程中常见的错误提示。其含义为资源不可用，服务器理解客户的请求，但拒绝处理它。通过这个错误状态代码攻击者可以清楚地知道网站的目录结构。常用的办法是将所有网站出错信息都重定向到一个错误页面，或者一个简单的办法可以将HTTP 403错误响应的状态代码修改为HTTP 404错误响应的状态代码，这样可以将网站的目录模糊化，防止一些扫描器的扫描，增强了网站的安全性。

2 总结

本文通过对Web网站的常见漏洞如SQL注入，管理入口暴露，网站目录信息泄露等问题的原理和方法进行分析阐述，并给出较为简单实用的堵漏建议，对提高网站的安全防护能力起到一定作用。

参考文献

[1] JustinClarke.SQL 注入攻击与防御[M].北京：清华大学出版社，2010.

[2] 王云，郭外萍，陈承欢.Web项目中的SQL注入问题研究与防范方法[J].计算机工程与设计，2010，31（5）：976-978.

[3] 刘帅.SQL注入攻击及其防范检测技术的研究[J].电脑知识与技术， 2009，5（28）：7870-7872.

[4] 杨云.无懈可击—全方位构建案例Web系统[M].北京：清华大学出版社，2012.

[5] 武新华，孙世宁.网站入侵与脚本技术快速防杀[M].北京：电子工业出版社，2011.