在互联网 大众化及Web技术飞速演变 的今天，在线安全所面临的挑战日趋 严峻。伴随着在线信息和服务的可用性的提升，和 基子Web的攻击和破坏的增长，安全风险到达 了史无前例 的高度。由于众多安全工作集中在网络本身上面，Web利用 程序几近 被遗忘了。或许 这是由于 利用 程序过去常常是在一台计算机上运行的独立程序，如果这台计算机安全的话，那么 利用 程序就是安全的。如今，情况大不一样了，Web利用 程序在多种不同的机器上运行：客户端、Web服务器、数据库服务器和利用 服务器。而且，由于 他们一般可让 所有的人使用，所以这些利用 程序成了 众多攻击活动的后台旁路。

        由于Web服务器提供了几种不同的方式将要求 转发给利用 服务器，并将修改过的或新的网页发回给终究 用户，这使得非法闯入网络变得更加容易。

        而且，许多程序员不知道如何开发安全的利用 程序。他们的经验或许 是开发独立利用 程序或Intranet Web利用 程序，这些利用 程序没有考虑 到在安全缺点 被利用时可能会出现灾害 性后果。

        其次，许多Web利用 程序容易遭到 通过服务器、利用 程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施，由于 端口80或443（SSL，安全套接字协议层）必须开放，以便让利用 程序正常运行。Web利用 程序攻击包括对利用 程序本身的DoS（谢绝 服务）攻击、改变网页内容和 盗走企业的关键信息或用户信息等。

        总之，Web利用 攻击之所以与其他攻击不同，是由于 它们很难被发现，而且可能来自任何在线用户，乃至 是经过验证的用户。迄今为止，该方面还没有 遭到 重视，由于 企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全，而防火墙和入侵检测解决方案发现不了Web攻击行动。

        常见的Web利用安全漏洞

        下面将列出一系列通常会出现的安全漏洞，并且简单解释一下这些漏洞是如何产生的。

        已知弱点和毛病 配置

        已知弱点包括Web利用 使用的操作系统和第三方利用 程序中的所有程序毛病 或 可以被利用的漏洞。这个问题也触及 到毛病 配置，包括 有不安全的默许 设置或管理员没有进行安全配置的利用 程序。一个很好的例子就是你的Web服务器被配置成可让 任何用户从系统上的任何目录路径通过，这样可能会导致 泄漏 存储在Web服务器上的一些敏感信息，如口令、源代码或客户信息等。

        隐藏字段

        在许多利用 中，隐藏的HTML格式字段被用来保存系统口令或商品价格。虽然 其名称如此，但这些字段其实不 是很隐蔽的，任何在网页上履行 “查看源代码”的人都能看见。许多Web利用 允许歹意 的用户修改HTML源文件中的这些字段，为他们提供了以极小本钱 或无需本钱 购买商品的机会。这些攻击行动之所以成功，是由于 大多数利用 没有对返回网页进行验证；相反，它们认为输入数据和输出数据是一样的。

        后门和调试漏洞

        开发人员常常建立一些后门并依托 调试来排除利用 程序的故障。在开发进程 中这样做可以，但这些安全漏洞常常 被留在一些放在互联网 上的终究 利用 中。一些常见的后门使用户不用口令便可 以登录或 访问允许直接进行利用 配置的特殊URL。

        跨站点脚本编写

        一般来讲 ，跨站点编写脚本是将代码插入由另外一 个源发送的网页当中 的进程 。利用跨站点编写脚本的一种方式是通过HTML格式，将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。歹意 的用户会在公告牌上帖上包括 有歹意 的JavaScript代码的信息。当用户查看这个公告牌时，服务器就会发送HTML与这个歹意 的用户代码一起显示。客户真个 浏览 器会履行 该代码，由于 它认为这是来自Web服务器的有效代码。

        参数篡改

        参数篡改包括操纵URL字符串，以检索用户以其他方式得不到的信息。访问Web利用 的后端数据库是通过常常包括 在URL中的SQL调用来进行的。歹意 的用户可以操纵SQL代码，以便将来有可能检索一份包括 所有用户、口令、信誉 卡号的清单或 储存 在数据库中的任何其他数据。

        更改cookie

        更改cookie指的是修改存储在cookie中的数据。网站常常将一些包括用户ID、口令、帐号等的cookie存储到用户系统上。通过改变这些值，歹意 的用户便可 以访问不属于他们的帐户。攻击者也能够 盗取 用户的cookie并访问用户的帐户，而没必要 输入ID和口令或进行其他验证。

        输入信息控制

        输入信息检查包括能够通过控制由CGI脚本处理的HTML格式中的输入信息来运行系统命令。例如，使用CGI脚本向另外一 个用户发送信息的情势 可以被攻击者控制来将服务器的口令文件邮寄给歹意 的用户或 删除系统上的所有文件。

        缓冲区溢出

        缓冲区溢出是歹意 的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。该系统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区，则部分 数据就会溢出到堆栈中。如果这些数据是代码，系统随后就会履行 溢出到堆栈上的任何代码。Web利用 缓冲区溢出攻击的典型例子也触及 到HTML文件。如果HTML文件上的一个字段中的数据足够的大，它就可以 创造一个缓冲器溢出条件。

        直接访问浏览

        直接访问浏览 指直接访问应当 需要验证的网页。没有正确配置的Web利用 程序可让 歹意 的用户直接访问包括有敏感信息的URL或 使提供收费网页的公司丧失收入。

        Web利用 安全两步走

        Web利用 攻击能够给企业的财产、资源和名誉 造成重大破坏。虽然Web利用 增加了企业受攻击的危险，但有许多方法可以帮助减轻这一危险。首先，必须教育开发人员了解安全编码方法。仅此项步骤就会消除大部分 Web利用 的安全问题。其次，坚持跟上所有厂商的最新安全补丁 程序。如果不对已知的缺点 进行修补，和特洛伊木马一样，攻击者就可以 很容易地利用你的Web利用 程序穿过防火墙访问Web服务器、数据库服务器、利用 服务器等等。将这两项步骤结合起来，就会大大减少Web利用 遭到 攻击的风险。同时管理人员必须采取严格措施，以保证不让任何东西从这些漏洞中溜过去。