Web安全之攻击防范

　　令人担忧的是，由于Web编程语言自身的缺陷，以及具有安全编程能力的开发人员少之又少，大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦注入成功，可以控制整个Web业务系统，包括对数据做任意的修改。

　　跨站脚本(XSS)攻击
　　不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。
　　跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者以通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
　　根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果非常严重，影响面也十分之广，主要包括了：
　　第一，盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号等。
　　第二，控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力。
　　第三，盗窃企业重要的具有商业价值的资料。
　　第四，非法转账。
　　第五，强制发送电子邮件。
　　第六，网站挂马。
　　第七，控制受害者机器向其他网站发起攻击。
　　跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统上基于攻击特征匹配的防御技术难以奏效。

　　关注Web站点
　　Web应用的发展，对网站产生越来越重要的作用，而越来越多的网站在此过程中也因为存在安全隐患而成为Web安全重灾区。在黑客的眼里，网站并非是一个提供互联网服务和信息交流的平台，而是可以成为被低成本利用获取利益的一个途径。
　　根据启明星辰发布的2008年Web安全统计报告，显示中国大陆网站遭入侵导致网页被篡改成倍增长。截至到今年二季度，仅网页篡改数量已经是2004年的30倍，达到61228起，这还不包含未被官方披露的数字。Web安全问题几乎成为网站不能承受之重，追溯起来诱因很多。
　　第一，大多数网站设计，只考虑正常用户稳定使用
　　一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者，网站维护人员对网站攻防技术的了解甚少。在正常使用过程中，即便存在安全漏洞，正常的使用者也