Web網站常見漏洞及防御策略研究

王松　蘇文萍

摘 要：本文針對Web網站的常見漏洞如SQL注入，管理入口暴露，HTTP 錯誤響應的狀態代碼等問題進行研究并提出相應的解決建議，提高網站的安全防護能力。

關 鍵 詞：Web；網站；漏洞；SQL注入

0 引言

隨著互聯網的飛速發展，網站遭到黑客攻擊的頻率和影響也越來越大。2011年CSDN網站因遭遇黑客攻擊，600萬用戶的個人信息被泄露，由于很多用戶在不同的網站使用的都是相同的用戶名和密碼，由此可能導致用戶在淘寶等網上支付網站的賬號也一并泄露，造成重大經濟損失。2011年瑞星發布年度企業安全報告，2011年有接近20萬個企業網站曾被成功入侵，其中教育科研網站和政府網站分別占總體數量的31%和15%，造成極其惡劣的社會影響。本文針對Web網站的常見漏洞如SQL注入，管理入口暴露，網站目錄信息泄露等問題進行研究并提出相應的解決建議，提高網站的安全防護能力。

1 Web網站常見漏洞及防御策略

1.1 SQL注入

1.3 網站目錄信息泄露

網站目錄信息泄露[5]對于網站的安全也是一個很大的隱患，網站上的任何信息都有可能被攻擊者所利用，網站目錄信息就是其中之一。網絡攻擊者一般在攻擊之前都會先對準備攻擊的網站進行掃描，以獲得目標網站的信息，其中一個就是通過HTTP 錯誤響應的狀態代碼來獲得網站的目錄信息。HTTP 403錯誤是網站訪問過程中常見的錯誤提示。其含義為資源不可用，服務器理解客戶的請求，但拒絕處理它。通過這個錯誤狀態代碼攻擊者可以清楚地知道網站的目錄結構。常用的辦法是將所有網站出錯信息都重定向到一個錯誤頁面，或者一個簡單的辦法可以將HTTP 403錯誤響應的狀態代碼修改為HTTP 404錯誤響應的狀態代碼，這樣可以將網站的目錄模糊化，防止一些掃描器的掃描，增強了網站的安全性。

2 總結

本文通過對Web網站的常見漏洞如SQL注入，管理入口暴露，網站目錄信息泄露等問題的原理和方法進行分析闡述，并給出較為簡單實用的堵漏建議，對提高網站的安全防護能力起到一定作用。

參考文獻

[1] JustinClarke.SQL 注入攻擊與防御[M].北京：清華大學出版社，2010.

[2] 王云，郭外萍，陳承歡.Web項目中的SQL注入問題研究與防范方法[J].計算機工程與設計，2010，31（5）：976-978.

[3] 劉帥.SQL注入攻擊及其防范檢測技術的研究[J].電腦知識與技術， 2009，5（28）：7870-7872.

[4] 楊云.無懈可擊—全方位構建案例Web系統[M].北京：清華大學出版社，2012.

[5] 武新華，孫世寧.網站入侵與腳本技術快速防殺[M].北京：電子工業出版社，2011.