智能通訊時代,人們每天通過手機、電腦等設(shè)備,訪問各種網(wǎng)站,實現(xiàn)衣食住行、娛樂休閑觀影等。
正常情況下,網(wǎng)站都是安全的,因為經(jīng)過了安全檢測,但是,有時候我們誤點了某些不知名網(wǎng)站,就可能存在風險;甚至,有些網(wǎng)站也存在檢測不嚴謹,導致用戶信息處于安全邊緣。
那么,為什么會出現(xiàn)這種安全隱患?
比如:在編寫網(wǎng)頁時,沒有對用戶的輸入進行驗證,沒有對數(shù)據(jù)的大小、類型和字符串進行規(guī)范。
沒有限制API函數(shù)對系統(tǒng)資源的使用,以及對Web服務器沒有進行相應的資源限制,引起不必要的麻煩。
一些中小企業(yè)自己管理的Web站點沒有足夠的技術(shù)能力來管理。Web站點所處網(wǎng)絡大環(huán)境的安全設(shè)計不合理等等,原因可能很多,不止這些,從而導致了各種漏洞的出現(xiàn):
01 信息泄露漏洞
信息泄露漏洞是由于Web服務器或應用程序沒有正確處理一些特殊請求,泄露Web服務器的一些敏感信息,比如:用戶名、密碼、源代碼、服務器信息、配置信息等。
02 命令執(zhí)行漏洞
命令執(zhí)行漏洞是通過URL發(fā)起請求,在Web服務器端執(zhí)行未授權(quán)的命令,獲取系統(tǒng)信息,篡改系統(tǒng)配置,控制整個系統(tǒng),使系統(tǒng)癱瘓等。
03 文件包含漏洞
文件包含漏洞是由攻擊者向Web服務器發(fā)送請求時,在URL添加非法參數(shù),Web服務器端程序變量過濾不嚴。
04 跨站腳本漏洞
跨站腳本漏洞是因為Web應用程序沒有對用戶提交的語句和變量進行過濾或限制。