防范黑客攻擊，保護(hù)網(wǎng)站安全

引言：現(xiàn)在幾乎所有的單位都擁有自己的網(wǎng)站，這對(duì)于提高企業(yè)形象，發(fā)布相關(guān)服務(wù)，提高企業(yè)知名度等方面都是很有利的。但是，眾多的網(wǎng)站也成了黑客覬覦的目標(biāo)。因此，防范黑客入侵，保護(hù)網(wǎng)站安全，是網(wǎng)絡(luò)管理員義不容辭的責(zé)任。

現(xiàn)在幾乎所有的單位都擁有自己的網(wǎng)站，這對(duì)于發(fā)布相關(guān)服務(wù)，提高企業(yè)知名度等方面都是很有利的。但是眾多的網(wǎng)站也成了黑客覬覦的目標(biāo)，黑客通過(guò)各種方法侵入網(wǎng)站，進(jìn)行盜竊數(shù)據(jù)，篡改頁(yè)面，安裝放置病毒木馬，甚至進(jìn)一步提權(quán)控制整臺(tái)網(wǎng)站服務(wù)器等危險(xiǎn)行為對(duì)企業(yè)網(wǎng)絡(luò)的安全造成了不可忽視的威脅。因此，防范黑客入侵，保護(hù)網(wǎng)站安全，是網(wǎng)絡(luò)管理員義不容辭的責(zé)任。只有了解黑客的常用的入侵方法，才可以有的放矢的進(jìn)行防御。

防范跨站腳本攻擊

跨站腳本攻擊（Crose Site Scripting）是黑客常用的入侵手段，一些網(wǎng)站存在對(duì)用戶輸入過(guò)濾不足的問(wèn)題，導(dǎo)致被惡意利用，通過(guò)在頁(yè)面上輸入可以對(duì)其他用戶造成威脅的HTML代碼來(lái)盜取用戶的資料數(shù)據(jù)，并利用正常用戶的身份來(lái)執(zhí)行一些破壞性動(dòng)作，例如導(dǎo)致訪問(wèn)者遭到病毒侵襲等?？缯灸_本的危害很大，卻不容易引起用戶廣泛關(guān)注。

XSS跨站腳本攻擊分為存儲(chǔ)型和反射型兩大類，前者指Web應(yīng)用程序（例如留言板等）會(huì)將黑客輸入的帶有攻擊內(nèi)容的信息保存在服務(wù)器端的數(shù)據(jù)庫(kù)或者指定的文件中，當(dāng)訪問(wèn)者查看這些數(shù)據(jù)時(shí)，Web應(yīng)用程序會(huì)將輸入的惡意信息提取出來(lái)，導(dǎo)致訪問(wèn)者的瀏覽器執(zhí)行這些惡意代碼，進(jìn)而受到攻擊。

后者指的是Web應(yīng)用程序未經(jīng)安全過(guò)濾，就將黑客輸入的惡意數(shù)據(jù)（一般為危險(xiǎn)的鏈接）在頁(yè)面上輸出，當(dāng)訪問(wèn)者瀏覽這些網(wǎng)頁(yè)時(shí)，如果誤點(diǎn)了這些惡意鏈接，就很容易中招，落入陷阱之中。當(dāng)然，黑客為欺騙用戶，會(huì)將跨站代碼進(jìn)行加密變形處理。

對(duì)XSS跨站腳本攻擊進(jìn)行防范其實(shí)也不復(fù)雜，因?yàn)閄SS攻擊主要利用了Web應(yīng)用程序?qū)τ脩糨斎霙](méi)有進(jìn)行嚴(yán)格過(guò)濾的漏洞，造成惡意代碼可以在客戶端的瀏覽器上運(yùn)行，因此需要從服務(wù)器端和客戶端進(jìn)行防御。例如，對(duì)于服務(wù)器端來(lái)說(shuō)，Web應(yīng)用程序應(yīng)該對(duì)用戶的輸入信息進(jìn)行嚴(yán)格檢測(cè)。包括輸入的內(nèi)容是否包含非法字符，尤其是對(duì)帶有JavaScript和AspScript標(biāo)簽的數(shù)據(jù)要嚴(yán)格檢測(cè)，對(duì)于內(nèi)容過(guò)長(zhǎng)的輸入內(nèi)容要嚴(yán)格過(guò)濾等。例如不允許包含“