锐捷百日强网公益安全活动网站高危漏洞播报

锐捷网络百日强网公益安全活动自7月份开展以来，受到了政府、教育等行业客户的极大关注，在一个月的时间内，锐捷网络RG-Slab安全研究小组共收到五百余份网站安全漏洞扫描申请，其中政府占43%，普教占23%，高校占21%，其他13%。RG-Slab安全研究小组通过对这些扫描报告的深度分析和比较，共整理出近阶段最常见也是危害较大的5大网站安全漏洞，特此发布，希望能够提示大家关注自身网站安全。

活动官网：http://www.ruijie.com.cn/special/0707/Home.aspx

TOP1 跨站脚本

诱因：网站程序在接受用户提交的内容后，没有对在HTML文件中有特殊含义的字符和关键字进行过滤，并将其直接显示在网页上，导致用户提交的内容改变了网页原有的结构。

影响：存在跨站脚本漏洞的网站程序在用户提交了含有特殊字符的内容后页面可能会显示不正常，攻击者可以将包含恶意代码的跨站脚本提交给有该漏洞的网站程序，使得恶意代码植入到用户的网站上，这会影响到该网站用户的安全。

TOP2 SQL注入

诱因：网站程序在使用SQL语句执行数据库操作时，没有对用户提交的内容做出正确的处理，导致用户提交的内容破坏了程序原先的SQL语句结构，使得网站程序对数据库操作出错或改变预定的数据库操作行为，我们把网站程序的这种问题称为SQL注入漏洞。 

影响：攻击者可以利用SQL注入漏洞直接获取、修改或删除数据库的内部资料；或者有目的的在数据库内插入恶意代码，这些恶意代码最终会显示到用户的网页上，危害网站用户的安全；也可从数据库中获取用户名密码等重要信息，或者直接利用SQL注入漏洞绕过登录检查，从而取得网站系统的管理权。

TOP3 入侵广告

诱因：入侵者在用户的网页上植入了一些广告链接，常见的广告内容有游戏，赌博，彩票，色情等，有的也包括一些常规网站，这些广告链接多数不会显示出来，只是为了进行SEO，让搜索引擎可以更好搜索到那些网站，入侵者可以为此从获益人处得到相关的报酬。

影响：用户的网站被大量植入这些不健康链接后，会严重影响用户网站的名誉，一些安全软件有可能因此把用户的网站视为不良网站而屏蔽。另一方面，网页被植入内容说明攻击者已经取得了网站的管理权限，用户网站随时都可能被入侵者破坏。

TOP4 程序错误信息

诱因：应用程序在处理某些访问请求时发生错误，并将错误警告信息显示给访问者。 

影响：攻击者可能从错误警告中获取网站程序的内部信息，这将为攻击者入侵网站提供条件。

TOP5 内部目录泄露

诱因：网站上没有任何与这些目录相关的链接，但这些目录确实存在于用户的服务器上。这些目录可能是内部使用的管理目录，数据资料目录，备份目录，临时目录等。

影响：如果这些目录的安全性仅仅依赖于它的不公开性，则能探测到这些目录说明它们是不安全的。攻击者也有可能从这些目录中获得更有价值的网站资