王松　蘇文萍

摘 要：本文針對Web網(wǎng)站的常見漏洞如SQL注入，管理入口暴露，HTTP 錯誤響應(yīng)的狀態(tài)代碼等問題進行研究并提出相應(yīng)的解決建議，提高網(wǎng)站的安全防護能力。

關(guān) 鍵 詞：Web；網(wǎng)站；漏洞；SQL注入

0 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)站遭到黑客攻擊的頻率和影響也越來越大。2011年CSDN網(wǎng)站因遭遇黑客攻擊，600萬用戶的個人信息被泄露，由于很多用戶在不同的網(wǎng)站使用的都是相同的用戶名和密碼，由此可能導(dǎo)致用戶在淘寶等網(wǎng)上支付網(wǎng)站的賬號也一并泄露，造成重大經(jīng)濟損失。2011年瑞星發(fā)布年度企業(yè)安全報告，2011年有接近20萬個企業(yè)網(wǎng)站曾被成功入侵，其中教育科研網(wǎng)站和政府網(wǎng)站分別占總體數(shù)量的31%和15%，造成極其惡劣的社會影響。本文針對Web網(wǎng)站的常見漏洞如SQL注入，管理入口暴露，網(wǎng)站目錄信息泄露等問題進行研究并提出相應(yīng)的解決建議，提高網(wǎng)站的安全防護能力。

1 Web網(wǎng)站常見漏洞及防御策略

1.1 SQL注入

1.3 網(wǎng)站目錄信息泄露

網(wǎng)站目錄信息泄露[5]對于網(wǎng)站的安全也是一個很大的隱患，網(wǎng)站上的任何信息都有可能被攻擊者所利用，網(wǎng)站目錄信息就是其中之一。網(wǎng)絡(luò)攻擊者一般在攻擊之前都會先對準備攻擊的網(wǎng)站進行掃描，以獲得目標網(wǎng)站的信息，其中一個就是通過HTTP 錯誤響應(yīng)的狀態(tài)代碼來獲得網(wǎng)站的目錄信息。HTTP 403錯誤是網(wǎng)站訪問過程中常見的錯誤提示。其含義為資源不可用，服務(wù)器理解客戶的請求，但拒絕處理它。通過這個錯誤狀態(tài)代碼攻擊者可以清楚地知道網(wǎng)站的目錄結(jié)構(gòu)。常用的辦法是將所有網(wǎng)站出錯信息都重定向到一個錯誤頁面，或者一個簡單的辦法可以將HTTP 403錯誤響應(yīng)的狀態(tài)代碼修改為HTTP 404錯誤響應(yīng)的狀態(tài)代碼，這樣可以將網(wǎng)站的目錄模糊化，防止一些掃描器的掃描，增強了網(wǎng)站的安全性。

2 總結(jié)

本文通過對Web網(wǎng)站的常見漏洞如SQL注入，管理入口暴露，網(wǎng)站目錄信息泄露等問題的原理和方法進行分析闡述，并給出較為簡單實用的堵漏建議，對提高網(wǎng)站的安全防護能力起到一定作用。

參考文獻

[1] JustinClarke.SQL 注入攻擊與防御[M].北京：清華大學(xué)出版社，2010.

[2] 王云，郭外萍，陳承歡.Web項目中的SQL注入問題研究與防范方法[J].計算機工程與設(shè)計，2010，31（5）：976-978.

[3] 劉帥.SQL注入攻擊及其防范檢測技術(shù)的研究[J].電腦知識與技術(shù)， 2009，5（28）：7870-7872.

[4] 楊云.無懈可擊—全方位構(gòu)建案例Web系統(tǒng)[M].北京：清華大學(xué)出版社，2012.

[5] 武新華，孫世寧.網(wǎng)站入侵與腳本技術(shù)快速防殺[M].北京：電子工業(yè)出版社，2011.