一、隨著計(jì)算機(jī)信息技術(shù)的高速發(fā)展，人們的生活、工作越來(lái)越依賴互聯(lián)網(wǎng)上的信息發(fā)布和信息獲取，但是人們卻時(shí)刻被信息網(wǎng)絡(luò)的安全隱患所困擾，越來(lái)越多的人也開(kāi)始了關(guān)于網(wǎng)絡(luò)、網(wǎng)站的安全性管理研究。

　　網(wǎng)站安全是指對(duì)網(wǎng)站進(jìn)行管理和控制，并采取一定的技術(shù)措施，從而確保在一個(gè)網(wǎng)站環(huán)境里信息數(shù)據(jù)的機(jī)密化、完整性及可使用性受到有效的保護(hù)。網(wǎng)站安全的主要目標(biāo)就是要穩(wěn)妥地確保經(jīng)由網(wǎng)站傳達(dá)的信息總能夠在到達(dá)目的地時(shí)沒(méi)有任何增加、改變、丟失或被他人非法讀取。要做到這一點(diǎn)，必須保證網(wǎng)站系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)其有一定的安全保護(hù)功能，并保證網(wǎng)站部件如終端、數(shù)據(jù)鏈路等的功能不變而且僅僅是那些被授權(quán)的人們可以訪問(wèn)。

　　網(wǎng)站安全目前已發(fā)展成為一個(gè)跨學(xué)科的綜合性學(xué)科，它包括通信技術(shù)、網(wǎng)站技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)站安全與計(jì)算機(jī)安全技術(shù)等，網(wǎng)站安全是在攻擊與防范這一對(duì)矛盾相互作用的過(guò)程中發(fā)展起來(lái)的。新的攻擊導(dǎo)致必須研究新的防護(hù)措施，新的防護(hù)措施又招致攻擊者新的攻擊，如此循環(huán)反復(fù)，網(wǎng)站安全技術(shù)也就在雙方的爭(zhēng)斗中逐步完善發(fā)展起來(lái)。

　　二、網(wǎng)絡(luò)與網(wǎng)站安全隱患概述

　　目前影響網(wǎng)站安全的問(wèn)題主要來(lái)自于網(wǎng)絡(luò)的不安全性，所以在這個(gè)意義上講，網(wǎng)站的安全漏洞其實(shí)也就是網(wǎng)絡(luò)的安全漏洞，其漏洞主要來(lái)自以下幾個(gè)方面：

　　1.自然因素：

　　1.1軟件漏洞

　　任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無(wú)缺陷和無(wú)漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊，主要在以下幾個(gè)方面：

　　1.1.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級(jí)用戶的特權(quán)。

　　1.1.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長(zhǎng)度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，來(lái)造成系統(tǒng)不穩(wěn)定狀態(tài)。

　　1.1.3、口令攻擊。例如，Unix系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中，而該文件可通過(guò)拷貝或口令破譯方法受到入侵。因此，任何不及時(shí)更新的系統(tǒng)，都是容易被攻擊的。

　　1.2病毒攻擊

　　計(jì)算機(jī)病毒一般分為四類：①文件型病毒（FileViruses）;②引導(dǎo)型病毒（SystemorBootSectorVirus）;③鏈?zhǔn)讲《荆⊿YSTEMorCLUSTERVirus）;④宏病毒（MacroVirus）。計(jì)算機(jī)病毒的主要危害有：對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用，給用戶造成重大損失:占用系統(tǒng)資源并影響運(yùn)行速度:產(chǎn)生其他不可預(yù)見(jiàn)的危害:給用戶造成嚴(yán)重的心理壓力。

　　計(jì)算機(jī)病毒疫情呈現(xiàn)出多元化的發(fā)展趨勢(shì)，以網(wǎng)絡(luò)為主要傳播途徑。呈現(xiàn)以下顯著特點(diǎn):①網(wǎng)絡(luò)病毒占據(jù)主要地位；②病毒向多元化、混合化發(fā)展；③利用漏洞的病毒越來(lái)越多。

　　2、人為因素：

　　2.1操作失誤

　　操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng).用戶口令選擇不慎.用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使用初期較常見(jiàn)，隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn)，此種情況逐漸減少.對(duì)網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。

　　2.2惡意攻擊

　　這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。

　　當(dāng)然作為本文最討論的網(wǎng)站安全，它也有它自身的安全隱患存在，主要體現(xiàn)在以下幾點(diǎn)：

　　3.用戶輸入驗(yàn)證不全面

　　在網(wǎng)站編程中，對(duì)于用戶和用戶的輸入，都必須抱懷疑態(tài)度，不能完全信任。所以，對(duì)于用戶的輸入，不能簡(jiǎn)單的直接采用，而必須經(jīng)過(guò)嚴(yán)格驗(yàn)證，確定用戶的輸入是否符合輸入規(guī)則才可以錄入數(shù)據(jù)庫(kù)。用戶輸入驗(yàn)證應(yīng)該包括以下幾個(gè)方面：

　　（1）輸入信息長(zhǎng)度驗(yàn)證。程序員往往認(rèn)為一般用戶不會(huì)故意將輸入過(guò)分拉長(zhǎng)，不進(jìn)行輸入驗(yàn)證可能沒(méi)有危害。但如果用戶輸入的信息達(dá)到幾個(gè)兆，而程序又沒(méi)有驗(yàn)證長(zhǎng)度的話，可以使程序驗(yàn)證出錯(cuò)或變量占用大量?jī)?nèi)存，出現(xiàn)內(nèi)存溢出，致使服務(wù)器服務(wù)停止甚至關(guān)機(jī)。論文網(wǎng)在線

　　（2）輸入信息敏感字符檢查。在設(shè)計(jì)程序的時(shí)候，程序員可能都會(huì)關(guān)注&#106avascript的一些敏感字符，如在設(shè)計(jì)留言版的時(shí)候，會(huì)將“<”等符號(hào)的信息過(guò)濾，以免用戶留下頁(yè)面炸彈。但還有以下幾個(gè)方面需要特別注意，一是留言版內(nèi)容信息的過(guò)濾。二是用戶名信息的過(guò)濾。程序設(shè)計(jì)中，對(duì)用戶名的驗(yàn)證往往只是驗(yàn)證長(zhǎng)度，沒(méi)有驗(yàn)證&#106avascript或者HTML的標(biāo)記，這樣就容易形成漏洞。三是Email信息的驗(yàn)證，Email信息往往也只驗(yàn)證是否含有“@”符號(hào)，其他沒(méi)有限制，這容易形成兩個(gè)漏洞：輸入信息過(guò)長(zhǎng)的內(nèi)存溢出漏洞；含有&#106avascript等字符信息，造成顯示用戶Email的時(shí)候形成頁(yè)面炸彈等。四是搜索信息的驗(yàn)證。盡管搜索信息不會(huì)直接保存到網(wǎng)站服務(wù)器，但是，搜索信息卻與數(shù)據(jù)庫(kù)或者服務(wù)器所有文件密切相關(guān)，如果搜索信息有問(wèn)題，很容易就會(huì)暴露一些本來(lái)不應(yīng)該暴露的數(shù)據(jù)庫(kù)信息或者文件信息。如果用戶對(duì)程序比較了解，可設(shè)計(jì)一些很特別的搜索信息，檢索他不應(yīng)該檢索的數(shù)據(jù)庫(kù)表，例如用戶賬號(hào)密碼表等。因此，一般要驗(yàn)證一些常見(jiàn)的用于數(shù)據(jù)庫(kù)操作的語(yǔ)句，例如搜索信息是否含有“Select”等，這樣來(lái)限制用戶輸入，避免信息的泄露。

　　4.頁(yè)面行為方式缺乏邏輯

　　在網(wǎng)站中注冊(cè)新用戶的時(shí)候，一般會(huì)首先要求用戶輸入自己需要注冊(cè)的賬號(hào)信息，驗(yàn)證該賬號(hào)是否已經(jīng)存在，確保用戶的單一性。如果用戶的注冊(cè)信息通過(guò)了“存在該賬號(hào)”的檢測(cè)，在編程的時(shí)候就認(rèn)為這個(gè)賬號(hào)一定不存在，可以注冊(cè)，在注冊(cè)頁(yè)面中直接使用“nsertInto”語(yǔ)句將注冊(cè)信息插入用戶數(shù)據(jù)庫(kù)。上述的問(wèn)題是：將注冊(cè)信息插入數(shù)據(jù)庫(kù)之前，并沒(méi)有再一次檢查這個(gè)用戶是否存在，而是信任前一個(gè)檢測(cè)頁(yè)面?zhèn)鱽?lái)的賬號(hào)信息。由于可以閱讀和保存HTML文件的源代碼，如果用戶將注冊(cè)通過(guò)的頁(yè)面保存并且將上面的賬號(hào)信息修改為一個(gè)已經(jīng)存在的賬號(hào)，由于程序認(rèn)為該賬號(hào)已經(jīng)通過(guò)檢測(cè)，直接將該賬號(hào)插入數(shù)據(jù)庫(kù)，原來(lái)?yè)碛性撡~號(hào)的用戶信息就被修改，造成用戶信息流失、出錯(cuò)等情況的發(fā)生。如果這個(gè)賬號(hào)剛好是一個(gè)管理員賬號(hào)，結(jié)果將是很難預(yù)料的。