Web站点常见安全问题
认证与授权
认证:访问网站时需要登录,用户名和密码的提交校验就是认证的过程。
授权:登录网站后,每个人所能访问的页面不尽相同,就是授权的作用。
session 与 cookie
session和cookie提高了用户体验,但不应该存放一些敏感数据,如身份证、手机号等。另外,不同的web站点的作用域应区分开,以避免出现不必要的麻烦。
Ddos 拒绝服务攻击
DdoS的攻击方式有很多种,最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
Ddos攻击利用的就是合理的服务请求,所以但凡网站都存在这一风险。既然不可避免,就加强防御吧。
文件上传漏洞
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。常见方式有:
上传web脚本程序,使web容器解释执行上传的文件;
病毒、恶意程序,并诱导用户下载执行;
包含脚本的图片,某些浏览器低版本会执行。
XSS 跨站攻击
xss跨站攻击即跨站脚本攻击,百度百科中介绍如下:用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
假如攻击者发布了一段包含如下代码的链接
<input type="button" value="button" onclick="alert('哈哈,你要被攻击了')"/>- 1
不明真相的普通用户点击了这个按钮,结果 
同样,嵌入的代码可以获取cookie等信息,那么普通用户的信息就被攻击者获取达到攻击的目的。
防范:来自应用安全国际组织OWASP的建议,对XSS最佳的防护应该结合以下两种方法:
1、验证所有输入数据,有效检测攻击;
2、对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
输入验证: 某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。
跨站请求伪造
跨站请求伪造(Cross-site request forgery)也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。