一、常見漏洞

1、 高危漏洞

XSS跨站腳本漏洞：由于程序員在編寫程序時對用戶提交的數據沒有做充分的合規性判斷和進行HTML編碼處理，直接把數據輸出到瀏覽器客戶端，這樣導致用戶可以提交一些特意構造的腳本代碼或HTML標簽代碼，并在輸出到瀏覽器時被執行。

SQL注入漏洞：通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。

具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。

網站存在備份文件：網站的使用過程中，往往需要對網站中的文件進行修改、升級。此時就需要對網站整站或者其中某一頁面進行備份。當備份文件或者修改過程中的緩存文件因為各種原因而被留在網站web目錄下，而該目錄又沒有設置訪問權限時，便有可能導致備份文件或者編輯器的緩存文件被下載，導致敏感信息泄露，給服務器的安全埋下隱患。

2、 中危漏洞

目錄遍歷漏洞：網站存在配置缺陷，存在目錄可瀏覽漏洞，這會導致網站很多**文件與目錄泄露，比如數據庫備份文件、配置文件等，攻擊者利用該信息可以更容易得到網站權限，導致網站被黑。

文件上傳漏洞：沒有對文件上傳限制， 可能會被上傳可執行文件，或腳本文件進一步導致服務器淪陷。

敏感信息泄露：系統暴露內部信息，如：網站的絕對路徑、網頁源代碼、SQL語句、中間件版本、程序異常等信息。

默認口令、弱口令：因為默認口令、弱口令很容易讓人猜到。

3、低危漏洞

異常錯誤處理：當錯誤發生時，向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內容，就有助于攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。

后臺地址泄露：網站利用一些開源的軟件做后臺，并且沒有修改后臺登錄地址，攻擊者經常使用這個地址進行網站的后臺登陸，比如弱密碼、表單繞過、暴力**等，從而得到網站的權限。

Flash標簽配置不當漏洞：網頁在引入flash的時候，會通過object/embed標簽，在設置的時候，如果一些屬性配置不當，會帶來安全問題：

1. allowScriptAccess：是否允許flash訪問瀏覽器腳本。如果不對不信任的flash限制，默認會允許調用瀏覽器腳本，產生XSS漏洞。always（默認值），總是允許；sameDomain，同域允許；never，不允許
2. allowNetworking：是否允許flash訪問ActionScript中的網絡API。如果不對不信任的flash限制，會帶來flash彈窗、CSRF等問題。all，允許所有功能，會帶來flash彈窗危害；internal，可以向外發送請求/加載網頁；none，無法進行任何網絡相關動作（業務正常功能可能無法使用）

網站存在敏感目錄：網站存在敏感目錄，例如 /upload /database /bak，該信息有助于攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。

二、漏洞解決方案

1、SQL注入漏洞

1.過濾掉一些常見的數據庫操作關鍵字：select,insert,update,delete,and,*等；

2.所有的查詢語句都使用數據庫提供的參數化查詢接口，即在構造動態SQL語句時，一定要使用類安全（type-safe）的參數加碼機制。

3.對進入數據庫的特殊字符（'”<>&*;等）進行轉義處理，或編碼轉換。

4.確認每種數據的類型和數據長度，比如數字型的數據就必須是數字，數據庫中的存儲字段必須對應為int型。

5.控制錯誤信息：關閉錯誤提示信息，將錯誤信息寫到系統日志，防止攻擊者利用這些錯誤信息進行一些判斷。

6.鎖定你的數據庫的安全，只給訪問數據庫的web應用功能所需的最低的權限。

2、XSS跨站腳本漏洞

1.假定所有輸入都是可疑的，必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。

2.盡量采用POST而非GET提交表單。

3.不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

4.將單步流程改為多步，在多步流程中引入效驗碼。

每一步都產生一個驗證碼作為hidden表單元素嵌在中間頁面，下一步操作時這個驗證碼被提交到服務器，服務器檢查這個驗證碼是否匹配。這為攻擊者增加了麻煩，而且攻擊者必須在多步流程中拿到上一步產生的效驗碼才有可能發起下一步請求，這幾乎無法做到的。

5.只在允許anonymous訪問的地方使用動態的javascript。

6.引入用戶交互，簡單的一個看圖識數可以堵住幾乎所有的非預期特權操作。

3、目錄遍歷漏洞：

1.關閉Web容器（如IIS/Apache等）的目錄瀏覽功能，比如IIS中關閉目錄瀏覽功能：在IIS的網站屬性中，勾去“目錄瀏覽”選項；

2.在防范遍歷路徑漏洞的方法中，最有效的是權限的控制，謹慎的處理向文件系統API傳遞過來的參數路徑。

3.數據凈化，對網站用戶提交過來的文件名進行硬編碼或者統一編碼，對文件后綴進行白名單控制，對包含了惡意的符號或者空字節進行拒絕。

4、后臺地址泄露：

1.配置好后臺登錄地址的訪問權限，比如只允許某個IP或IP段的用戶訪問；

2.將后臺登錄地址隱藏，改個不容易猜到的路徑。

3.把網站系統后臺與網站前端頁面分離部署，后臺系統部署在內網。