看完這篇文章后你是否有從新理解網(wǎng)站安全的重要性，相信有不少站長有網(wǎng)站被掛黑鏈的經(jīng)歷，帶大家了解網(wǎng)站都有可能存在哪些漏洞那些，出現(xiàn)網(wǎng)站漏洞的原因和應(yīng)急解決方案。

1、注入漏洞 

最常見、最典型的注入攻擊方式就是SQL注入，SQL注入漏洞的危害不僅體現(xiàn)在數(shù)據(jù)庫層面，還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；如果SQL注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不限于：

數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存儲(chǔ)的用戶隱私信息泄露。

網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進(jìn)行篡改。

網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進(jìn)行掛馬攻擊。

數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被竄改。

服務(wù)器被遠(yuǎn)程控制，被安裝后門：經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。

破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。

2、XSS跨站腳本漏洞 

XSS跨站腳本漏洞的危害包括但不限于：

釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級的釣魚攻擊方式。

網(wǎng)站掛馬：跨站后利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。

身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗(yàn)證標(biāo)志，XSS可以盜取用戶的Cookie，從而利用該Cookie獲取用戶對該網(wǎng)站的操作權(quán)限。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取，將會(huì)對網(wǎng)站引發(fā)巨大的危害。

盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份時(shí)，攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。

垃圾信息發(fā)送：比如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群體。

劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。

XSS蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實(shí)施DDoS攻擊等。

3、文件上傳漏洞 

大部分的網(wǎng)站和應(yīng)用系統(tǒng)都有上傳功能，一些文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型，導(dǎo)致允許攻擊者向某個(gè)可通過Web訪問的目錄上傳任意PHP文件，并能夠?qū)⑦@些文件傳遞給PHP解釋器，就可以在遠(yuǎn)程服務(wù)器上執(zhí)行任意PHP腳本。

當(dāng)系統(tǒng)存在文件上傳漏洞時(shí)攻擊者可以將病毒，木馬，WebShell，其他惡意腳本或者是包含了腳本的圖片上傳到服務(wù)器，這些文件將對攻擊者后續(xù)攻擊提供便利。根據(jù)具體漏洞的差異，此處上傳的腳本可以是正常后綴的PHP，ASP以及JSP腳本，也可以是篡改后綴后的這幾類腳本。

上傳文件是病毒或者木馬時(shí)，主要用于誘騙用戶或者管理員下載執(zhí)行或者直接自動(dòng)運(yùn)行；

上傳文件是WebShell時(shí)，攻擊者可通過這些網(wǎng)頁后門執(zhí)行命令并控制服務(wù)器；

上傳文件是其他惡意腳本時(shí)，攻擊者可直接執(zhí)行腳本進(jìn)行攻擊；

上傳文件是惡意圖片時(shí)，圖片中可能包含了腳本，加載或者點(diǎn)擊這些圖片時(shí)腳本會(huì)悄無聲息的執(zhí)行；

上傳文件是偽裝成正常后綴的惡意腳本時(shí)，攻擊者可借助本地文件包含漏洞(Local File Include)執(zhí)行該文件。如將bad.php文件改名為bad.doc上傳到服務(wù)器，再通過PHP的include，include_once，require，require_once等函數(shù)包含執(zhí)行。

造成惡意文件上傳的原因主要有三種：

文件上傳時(shí)檢查不嚴(yán)。沒有進(jìn)行文件格式檢查。一些應(yīng)用僅僅在客戶端進(jìn)行了檢查，而在專業(yè)的攻擊者眼里幾乎所有的客戶端檢查都等于沒有檢查，攻擊者可以通過NC，F(xiàn)iddler等斷點(diǎn)上傳工具輕松繞過客戶端的檢查。一些應(yīng)用雖然在服務(wù)器端進(jìn)行了黑名單檢查，但是卻可能忽略了大小寫，如將.php改為.Php即可繞過檢查；一些應(yīng)用雖然在服務(wù)器端進(jìn)行了白名單檢查卻忽略了%00截?cái)喾?，如?yīng)用本來只允許上傳jpg圖片，那么可以構(gòu)造文件名為xxx.php%00.jpg,其中%00為十六進(jìn)制的0x00字符，.jpg騙過了應(yīng)用的上傳文件類型檢測，但對于服務(wù)器來說，因?yàn)?00字符截?cái)嗟年P(guān)系，最終上傳的文件變成了xxx.php。

文件上傳后修改文件名時(shí)處理不當(dāng)。一些應(yīng)用在服務(wù)器端進(jìn)行了完整的黑名單和白名單過濾，在修改已上傳文件文件名時(shí)卻百密一疏，允許用戶修改文件后綴。如應(yīng)用只能上傳.doc文件時(shí)攻擊者可以先將.php文件后綴修改為.doc，成功上傳后在修改文件名時(shí)將后綴改回.php。

使用第三方插件時(shí)引入。好多應(yīng)用都引用了帶有文件上傳功能的第三方插件，這些插件的文件上傳功能實(shí)現(xiàn)上可能有漏洞，攻擊者可通過這些漏洞進(jìn)行文件上傳攻擊。如著名的博客平臺(tái)WordPress就有豐富的插件，而這些插件中每年都會(huì)被挖掘出大量的文件上傳漏洞。

以上三種漏洞是目前網(wǎng)站入侵中黑客最常利用的漏洞，其中文件上傳漏洞的影響尤為嚴(yán)重，很多網(wǎng)站開發(fā)好后，由于對上傳文件的篩查不夠嚴(yán)格，或者對上傳文件目錄權(quán)限設(shè)置太大、網(wǎng)站模板或源碼本身存在已知的后門或者漏洞，黑客利用這些漏洞，上傳病毒文件，拿到wenshell權(quán)限，進(jìn)而控制服務(wù)器管理權(quán)，不僅網(wǎng)站被黑，而且服務(wù)器也被抓成肉機(jī)

建議：

1、如果網(wǎng)站建設(shè)預(yù)算足夠，盡可能找專業(yè)的網(wǎng)站開發(fā)公司去定制網(wǎng)站，不要隨便在網(wǎng)上或者淘寶上購買模板站進(jìn)行修改，以免代碼本身有后門。

2、不論是專門定制的網(wǎng)站，還是購買的或者免費(fèi)下載的開源模板站點(diǎn)，都要定期檢查網(wǎng)站代碼漏洞，定期更新升級網(wǎng)站代碼（可以到專業(yè)的網(wǎng)站漏洞檢測平臺(tái)進(jìn)行檢測，也可付費(fèi)在網(wǎng)站風(fēng)險(xiǎn)評估平臺(tái)進(jìn)行網(wǎng)站安全風(fēng)險(xiǎn)檢測和評估）

3、養(yǎng)成良好的維護(hù)習(xí)慣，定期對網(wǎng)站數(shù)據(jù)庫和網(wǎng)站源碼進(jìn)行備份；在修改網(wǎng)站代碼前也要做備份，以免出問題后及時(shí)回滾。

4、對于敏感信息進(jìn)行修改或加密，對于網(wǎng)站后臺(tái)賬戶密碼盡可能設(shè)置復(fù)雜，而且要定期修改，必要時(shí)要對后臺(tái)地址做訪問限制。

5、對于網(wǎng)站程序目錄權(quán)限盡量做到分級設(shè)置，不要給多余的權(quán)限，更不能給everyone權(quán)限（很多客戶搭建網(wǎng)站，不知道如何設(shè)置權(quán)限，就統(tǒng)一設(shè)置everyone完全控制），不做修改的目錄可只給讀取權(quán)限。