为什么网站容易被攻击？每个站长都不希望自己的网站被攻击，把它掐在头上，找出攻击的原因，减少一些麻烦。这是非营利组织开放Web应用程序安全项目(OWASP)试图解决的关键问题之一。本文总结了OWASP组织提出的十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复网站漏洞。

1. 注入漏洞

真实案例：2006年1月，俄罗斯黑客入侵罗德岛政府网站，窃取了大量信用卡信息。黑客声称在SQL注入攻击中有53000个信用卡账户被盗，而主机服务提供商声称只有4113个信用卡账户被盗。

如何保护用户：尽可能不要使用转换器。“如果必须使用转换器，那么避免注入攻击的最佳方法是使用安全的api，如参数化指令和对象关系映射库，”OWASP说。

2. 跨站点脚本(XSS)

问题：XSS漏洞是web应用程序中最常见和最致命的安全漏洞之一，当应用程序将用户数据发送到未对内容进行身份验证或编码的web浏览器时，就会发生XSS漏洞。黑客可以使用浏览器中的恶意脚本获取用户数据，破坏网站，插入有害内容，发起网络钓鱼和恶意攻击。

真实案例：去年，恶意攻击者将Paypal用户重定向到另一个恶意网站，并警告他们的账户被盗。用户被引导到另一个网络钓鱼网站，在那里他们输入他们的贝宝登录信息，社会安全号码和信用卡详细信息。贝宝说，他们在2006年6月修复了这个漏洞。

保护方法：使用白名单对所有进入的数据进行校验，阻断白名单之外的所有数据。此外，所有接收到的数据都可以进行编码。OWASP表示：“认证机制可以检测攻击，编码可以防止其他恶意攻击者将其他脚本插入浏览器上运行的内容中。”

3.恶意文件执行

问题：黑客可以远程执行代码，远程安装rootkit，或者完全破坏系统。任何接受用户文件名或文件的web应用程序都是易受攻击的。该漏洞可能是用PHP编写的，PHP是web开发中最常用的脚本语言之一。

真实案例：2002年，一名十几岁的程序员发现了Guess.com的一个漏洞，攻击者可以从该网站的数据库中窃取20万客户信息，包括用户名、信用卡号和过期日期。次年，在联邦贸易委员会(Federal Trade Commission)的调查之后，Guess同意升级其安全系统。

如何保护用户：禁止将用户提供的文件写入服务器资源，如镜像、脚本等。设置防火墙规则，以防止外部网站和内部系统之间的任何新连接。

4、不安全的直接对象引用

问题：攻击者可以使用直接对象引用未经授权访问其他对象。当Web地址或其他参数中包含引用对象(如文件、目录、数据库记录或关键字)时，就会发生这种攻击。

银行网站经常使用用户的账号作为主要关键字，这可能会将用户的账号暴露在网络界面上。

OWASP说：“引用数据库关键字通常会泄露信息。”攻击者可以通过猜测或搜索其他有效关键字来攻击这些参数。通常，它们是连续的。”

真实案例：2000年，澳大利亚一家税务网站被一名用户入侵。该用户仅通过更改网站地址中的税号就获得了17,000家企业的详细信息。黑客通过电子邮件通知1.7万家公司，它们的数据已被泄露。

如何保护用户：使用索引、间接引用映射或其他间接方法来避免直接对象引用泄漏。如果你不能避免使用直接引用，你必须在使用它们之前授权网站访问者。

5. 跨站点指令伪造

问题：这种简单但具有破坏性的攻击会控制受害者的浏览器，并向web应用程序发送恶意指令。这类网站很容易受到攻击，部分原因是它们基于会话cookie或“自动记忆”功能授权指令。银行是潜在的目标。

“网络上99%的应用程序都容易受到跨站点命令伪造漏洞的影响，”Williams说。有没有发生过有人被袭击而丢了钱的情况？也许连银行都不会。对银行来说，整个攻击看起来就像是用户登录系统进行合法交易。”

真实案例：2005年底，一个名叫萨米的黑客利用蠕虫病毒获取了MySpace上100万个“朋友”的资料。“萨米是我的英雄”这句话自动出现在数千个MySpace页面上。攻击本身可能是无害的，但据说这种情况展示了跨站点脚本与伪造跨站点指令相结合的强大功能。另一个例子发生在一年前，当时谷歌网站出现了一个漏洞，允许外部网站更改用户的语言偏好。

如何保护用户：不要依赖浏览器自动提交的凭据或标识符。“解决这个问题的唯一方法是使用一个浏览器不会记住的自定义身份，”OWASP说。

0

问题：应用程序产生并显示给用户的错误消息也可能对黑客有用。这些消息可能会泄露用户的私人信息、软件配置或其他内部数据。

OWASP表示，“各种web应用程序经常通过详细的或调试错误消息泄露内部状态信息。通常，这些信息可能会导致对用户系统的更强大的攻击。”

真实案例：信息泄露是由于处理不当造成的，2005年的ChoicePoint崩溃就是这类事件的典型例子。攻击者冒充ChoicePoint的合法用户，在公司的人事数据库中寻找个人资料，窃取了16.3万条消费者记录。后来，ChoicePoint限制了包含敏感数据的信息产品的销售。

如何保护用户：使用测试工具，例如OWASP的WebScarab Project，来检查应用程序错误消息。“没有以这种方式测试的应用程序几乎肯定会有意想不到的错误消息，”OWASP说。

另一种方法是禁止或限制在错误处理中使用详细信息，并且不向用户显示调试信息。

7. 不安全的认证和会话管理

问题：如果应用程序不能始终保护身份验证证书和会话id，则用户的管理员帐户可能会受到损害。隐私侵犯和认证系统的基本原理应该被注意和有效监控。

OWASP表示：“漏洞通常存在于主要的身份验证机制中，但攻击通常通过辅助身份验证功能展开，例如注销、密码管理、有限登录、自动记忆、秘密问题和帐户更新。”

一个恰当的例子是：微软在2002年修复了Hotmail的一个漏洞，该漏洞被恶意的Java程序员用来窃取密码。这个漏洞是由一家互联网连接产品的经销商发现的，它允许含有该木马的电子邮件改变Hotmail用户的界面，迫使他们不断重新输入密码，并在黑客不知情的情况下将密码发送给黑客。

如何保护用户：通信和认证证书存储应保证安全。用于传输私有文件的SSL协议应该是应用软件身份验证系统中唯一的选项，并且身份验证证书应该以加密形式存储。

另一种方法是删除身份验证或会话管理中使用的自定义cookie。

8. 不安全的加密存储设备

问题：尽管加密本身是大多数web应用程序的重要组成部分，但许多web开发人员并不加密存储中的敏感数据。即使是现有的加密技术也是设计低劣的。

OWASP表示：“这些漏洞可能导致敏感用户数据的泄露，并破坏系统的一致性。”

真实案例：在TJX数据泄露事件中，4570万信用卡和ATM卡号被盗。加拿大政府的一项调查得出结论，TJX未能升级其数据加密系统。

如何保护用户：不要开发自己的加密算法。最好只使用经过批准的公共算法，如AES、RSA公钥加密和SHA-256或更好的算法。

此外，切勿透过不安全的渠道传送个人资料。

OWASP表示，目前保存信用卡号码是一种常见做法，但明年将不再这样做，届时0755-79,000号的发布截止日期将到。

9. 不安全的通信

问题：与漏洞8类似，此漏洞的出现是因为当需要保护包含敏感信息的通信时，流经网络的数据没有加密。攻击者可以访问各种未受保护的会话内容，包括证书和敏感信息的传输。因此，PCI标准要求对通过网络传输的信用卡信息进行加密。

真实案例：TJX的另一个例子。据《华尔街日报》报道，调查人员认为黑客使用望远镜状天线和笔记本电脑窃取无线传输的用户数据。

报告称，“许多零售商的无线网络不像许多人自己的局域网那样安全。TJX使用WEP加密系统，而不是更安全的WPA加密系统。

如何保护用户：在所有经过身份验证的连接上使用SSL，或者在传输敏感信息期间使用SSL。应该在与在线系统相关联的客户端、合作伙伴、员工和管理员帐户上加载SSL或类似的加密协议。传输层安全或协议级加密系统用于保护基础设施各部分(如网络服务器和数据库系统)之间的通信。

10. 访问该网站地址不受限制

问题：对某些网页的访问应该限制在一小群特权用户，比如管理员。然而，这些网页往往没有真正的保护系统，黑客可以猜测找到这些地址。Williams说，如果一个网址的ID号是123456，黑客可能会想知道123457的ID号是什么。

针对此漏洞的攻击称为强制浏览，它使用猜测来猜测周围的链接并找到未受保护的页面。

真实案例：Macworld大会网站上的一个漏洞让用户可以免费获得价值1700美元的高级访问权限和史蒂夫乔布斯的演讲。该漏洞评估了用户在客户端而不是服务器端的访问权限，允许人们通过浏览器中的Java脚本获得免费访问权限。

如何保护用户：不要以为用户不知道隐藏地址。所有的网址和业务功能都应该有一个有效的访问控制机制来验证用户的身份和权限。

总之，对于网站管理员来说，在开发和运营网站时多注意以上几点攻击的原因，可以减少攻击的发生。