web攻击的主要手段

　　目前Web技术在客户和服务端的广泛利用，导致黑客们越来越倾向于

　　使用各种攻击手法来针对Web应用进行攻击，即绕过了防火墙等常规防护

　　手段，也使得攻击手段更加简便和多样化，令人防不胜防。若想进行防范

　　就要了解对方是如何攻击的，以下是几种常见的攻击手段，希望读者可以

　　从中得到启发，从而更进一步的优化网站。

　　(1)桌面漏洞

　　Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客

　　利用的漏洞，特别是在用户经常不及时安装补丁的情况下。黑客会利用这

　　些漏洞在不经用户同意的情况下自动下载恶意软件代码，也称作隐藏式下

　　载。作为网站的管理人员也要了解不同客户端的相关安全信息，

　　(2)服务器漏洞

　　由于存在漏洞和服务器管理配置错误， Internet Informatiom Sever(IIS)

　　和Apache网络服务器经常是黑客攻击的对象。这就需要网站的管理人员定

　　期的对网站服务器的安全进行全面的检查，以修复服务器的漏洞，从而减

　　少网站被攻击的可能性。

　　(3)web服务器虚拟托管

　　同时托管几个甚至几千个网站的服务器也是被黑客恶意攻击的目标。

　　虽然它们是多个网站主体，但是因为它们架设在同一台网站服务器上，面

　　临的是同一个服务器的安全性问题。所以，若网站使用的是虚拟托管，也

　　需要对同一台Web服务器上的其他网站做适当的安全评定。

　　(4)显性/开放式代理

　　被黑客控制的计算机可以被设置为代理服务器，躲避URL过滤对通信

　　的控制，进行匿名上网或者充当非法网站数据流的中间人，从而截取网站

　　与访客之间的通信数据。网站的管理人员需要对网站的过滤通信有的了解，

　　以避免信息被截取。

　　(5)网站上广泛使用移动代码

　　在浏览器中禁用Javascrigt Java applets、.net应用、Flash/ActiveX

　　应该是个好主意，因为它们都会在您的计算机上自动执行脚本或代码，但

　　是如果禁用这些功能，很多网站可能无法浏览。任何接受用户输入的Web

　　应用(博客、论坛、Wiki评论部分)可能会在无意中接受恶意代码，而这些恶意代码可以被返回给其他用户，除非用户的输人被检查确认为恶意代码。在网站设计之初，我们需要很认真地考虑这些问题。

　　除以上这几点外，还有很多web攻击手段。在今后新旧技术的更替中，

　　将会有更多的方式和途径影响网站的安全，网站的管理人员不仅需要了解

　　这些安全信息，还需要找出应对的措施，以便网站健康良好地运营。