網站常見的漏洞有哪些？

　　常見的網站安全漏洞有：一、SQL注入漏洞；二、XSS跨站腳本攻擊漏洞；三、文件上傳漏洞；四、目錄遍歷漏洞；五、admin密碼漏洞；六、請求偽造漏洞；七、權限審閱漏洞。關于網站漏洞的具體內容我們將在文章中展開。

一、SQL注入漏洞

　　此類漏洞是人人皆知的漏洞，黑客可以利用該漏洞得到管理員的賬號和密碼，或者直接控制服務器。該漏洞目前在小型網站還比較多，尤其是學校網站里學生建設的一些網站。入侵此類漏洞只需要用一些SQl注入工具即可。

二、XSS跨站腳本攻擊漏洞

　　跨站腳本攻擊（XSS，Cross-site ing）是最常見和基本的攻擊Web網站的方法。攻擊者可以在網頁上發布包含攻擊性代碼的數據，當瀏覽者看到此網頁時，特定的腳本就會以瀏覽者用戶的身份和權限來執行。通過XSS可以比較容易地修改用戶數據、竊取用戶信息以及造成其它類型的攻擊，例如：CSRF攻擊。惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。

三、文件上傳漏洞

　　文件上傳漏洞是指用戶上傳了一個可執行的腳本文件，并通過此腳本文件獲得了執行服務器端命令的能力。這種攻擊方式是最為直接和有效的，“文件上傳”本身沒有問題，有問題的是文件上傳后，服務器怎么處理、解釋文件。如果服務器的處理邏輯做的不夠安全，則會導致嚴重的后果。

四、目錄遍歷漏洞

　　這個漏洞不常見，但是也是有的，該漏洞允許瀏覽者直接在瀏覽器里瀏覽和下載網站的文件，導致網站結構，網站文件，甚至數據庫輕易的被黑客搞到。造成此類漏洞的原因是服務器管理員的疏忽。該漏洞入侵主要是得到數據庫的地址，用下載工具下載，并得到管理員賬號。防止漏洞的方法就是服務器管理員取消網站目錄遍歷的權限。

五、admin密碼漏洞

　　很多網站建設者都喜歡把默認管理員賬號設成asmin，密碼一般是admin、123456、111111等比較常見的密碼。但是很多管理員并不去修改密碼，下次你看見登陸頁面時不妨試試，有可能就能登陸上去。防止這種漏洞方法就是及時修改密碼，把密碼設的難一些。

六、請求偽造漏洞

1）CSRF漏洞（Cross-site request forgery）跨站請求偽造

CSRF攻擊是源于WEB的隱式身份驗證機制！WEB的身份驗證機制雖然可以保證一個請求是來自于某個用戶的瀏覽器，但卻無法保證該請求是用戶批準發送的

處理方法：

（1）客戶端頁面增加偽隨機數。因為攻擊者不能獲得第三方的Cookie(理論上)，所以表單中的數據也就構造失敗了；

（2）請求referrer驗證；

（3）方法1已經能解決99%的csrf攻擊了，由于用戶的Cookie很容易由于網站的XSS漏洞而被盜取，那就是驗證碼。每次表單提交輸入驗證碼。

2）json-hijacking漏洞

CGI（common gateway interface）公共網關接口 （HTTP服務器與你的或其它機器上的程序進行“交談”的一種工具，其程序須運行在網絡服務器上）以JSON形式輸出數據，黑客控制的開發者站點以CSRF手段強迫用戶瀏覽器請求CGI得到JSON數據，黑客可以獲取敏感信息。

修復方法和 CSRF漏洞一樣。

七、權限審閱漏洞

我們知道一般人是不允許訪問管理員操作頁面的，于是有寫網站就把管理員頁面的連接去掉，只有知道連接的人才能進入頁面，但是現在網上有很多工具能檢查到你的管理員頁面，直接用瀏覽器打開，奇跡出現了，沒有提示讓輸入密碼，直接可以操作了。這就是權限審閱的漏洞。這個漏洞也是我認為最低級的漏洞，造成這樣漏洞的原因是網站建設者的疏忽，或者是水平不高造成的。當然這個漏洞不多見，但是絕對有，我見多好幾個了。防止該漏洞就方法就是進入管理員頁面時要檢查是不是管理員的權限。