銳捷網(wǎng)絡(luò)百日強(qiáng)網(wǎng)公益安全活動(dòng)自7月份開(kāi)展以來(lái)，受到了政府、教育等行業(yè)客戶的極大關(guān)注，在一個(gè)月的時(shí)間內(nèi)，銳捷網(wǎng)絡(luò)RG-Slab安全研究小組共收到五百余份網(wǎng)站安全漏洞掃描申請(qǐng)，其中政府占43%，普教占23%，高校占21%，其他13%。RG-Slab安全研究小組通過(guò)對(duì)這些掃描報(bào)告的深度分析和比較，共整理出近階段最常見(jiàn)也是危害較大的5大網(wǎng)站安全漏洞，特此發(fā)布，希望能夠提示大家關(guān)注自身網(wǎng)站安全。

活動(dòng)官網(wǎng)：http://m.yeeliu.cn/special/0707/Home.aspx

TOP1 跨站腳本

誘因：網(wǎng)站程序在接受用戶提交的內(nèi)容后，沒(méi)有對(duì)在HTML文件中有特殊含義的字符和關(guān)鍵字進(jìn)行過(guò)濾，并將其直接顯示在網(wǎng)頁(yè)上，導(dǎo)致用戶提交的內(nèi)容改變了網(wǎng)頁(yè)原有的結(jié)構(gòu)。

影響：存在跨站腳本漏洞的網(wǎng)站程序在用戶提交了含有特殊字符的內(nèi)容后頁(yè)面可能會(huì)顯示不正常，攻擊者可以將包含惡意代碼的跨站腳本提交給有該漏洞的網(wǎng)站程序，使得惡意代碼植入到用戶的網(wǎng)站上，這會(huì)影響到該網(wǎng)站用戶的安全。

TOP2 SQL注入

誘因：網(wǎng)站程序在使用SQL語(yǔ)句執(zhí)行數(shù)據(jù)庫(kù)操作時(shí)，沒(méi)有對(duì)用戶提交的內(nèi)容做出正確的處理，導(dǎo)致用戶提交的內(nèi)容破壞了程序原先的SQL語(yǔ)句結(jié)構(gòu)，使得網(wǎng)站程序?qū)?shù)據(jù)庫(kù)操作出錯(cuò)或改變預(yù)定的數(shù)據(jù)庫(kù)操作行為，我們把網(wǎng)站程序的這種問(wèn)題稱為SQL注入漏洞。 

影響：攻擊者可以利用SQL注入漏洞直接獲取、修改或刪除數(shù)據(jù)庫(kù)的內(nèi)部資料；或者有目的的在數(shù)據(jù)庫(kù)內(nèi)插入惡意代碼，這些惡意代碼最終會(huì)顯示到用戶的網(wǎng)頁(yè)上，危害網(wǎng)站用戶的安全；也可從數(shù)據(jù)庫(kù)中獲取用戶名密碼等重要信息，或者直接利用SQL注入漏洞繞過(guò)登錄檢查，從而取得網(wǎng)站系統(tǒng)的管理權(quán)。

TOP3 入侵廣告

誘因：入侵者在用戶的網(wǎng)頁(yè)上植入了一些廣告鏈接，常見(jiàn)的廣告內(nèi)容有游戲，賭博，彩票，色情等，有的也包括一些常規(guī)網(wǎng)站，這些廣告鏈接多數(shù)不會(huì)顯示出來(lái)，只是為了進(jìn)行SEO，讓搜索引擎可以更好搜索到那些網(wǎng)站，入侵者可以為此從獲益人處得到相關(guān)的報(bào)酬。

影響：用戶的網(wǎng)站被大量植入這些不健康鏈接后，會(huì)嚴(yán)重影響用戶網(wǎng)站的名譽(yù)，一些安全軟件有可能因此把用戶的網(wǎng)站視為不良網(wǎng)站而屏蔽。另一方面，網(wǎng)頁(yè)被植入內(nèi)容說(shuō)明攻擊者已經(jīng)取得了網(wǎng)站的管理權(quán)限，用戶網(wǎng)站隨時(shí)都可能被入侵者破壞。

TOP4 程序錯(cuò)誤信息

誘因：應(yīng)用程序在處理某些訪問(wèn)請(qǐng)求時(shí)發(fā)生錯(cuò)誤，并將錯(cuò)誤警告信息顯示給訪問(wèn)者。 

影響：攻擊者可能從錯(cuò)誤警告中獲取網(wǎng)站程序的內(nèi)部信息，這將為攻擊者入侵網(wǎng)站提供條件。

TOP5 內(nèi)部目錄泄露

誘因：網(wǎng)站上沒(méi)有任何與這些目錄相關(guān)的鏈接，但這些目錄確實(shí)存在于用戶的服務(wù)器上。這些目錄可能是內(nèi)部使用的管理目錄，數(shù)據(jù)資料目錄，備份目錄，臨時(shí)目錄等。

影響：如果這些目錄的安全性僅僅依賴于它的不公開(kāi)性，則能探測(cè)到這些目錄說(shuō)明它們是不安全的。攻擊者也有可能從這些目錄中獲得更有價(jià)值的網(wǎng)站資