1、跨站腳本（XSS）

　　■問題：XSS漏洞是最普遍和最致命的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞，當(dāng)一款應(yīng)用軟件將用戶數(shù)據(jù)發(fā)送到不帶認(rèn)證或者不對(duì)內(nèi)容進(jìn)行編碼的網(wǎng)絡(luò)瀏覽器時(shí)容易發(fā)生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數(shù)據(jù)，破壞網(wǎng)站，插入有害內(nèi)容，以及展開釣魚式攻擊和惡意攻擊。

　　■如何保護(hù)用戶：利用一個(gè)白名單來驗(yàn)證接到的所有數(shù)據(jù)，來自白名單之外的數(shù)據(jù)一律攔截。另外，還可以對(duì)所有接收到的數(shù)據(jù)進(jìn)行編碼。OWASP說：“驗(yàn)證機(jī)制可以檢測(cè)攻擊，編碼則可以防止其他惡意攻擊者在瀏覽器上運(yùn)行的內(nèi)容中插入其他腳本。”

　　2、注入漏洞

　　■問題：當(dāng)用戶提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉(zhuǎn)換器（將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令）的時(shí)候，黑客會(huì)欺騙轉(zhuǎn)換器。攻擊者可以利用注入漏洞創(chuàng)建、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)。在最壞的情況下，攻擊者可以利用這些漏洞完全控制應(yīng)用軟件和底層系統(tǒng)，甚至繞過系統(tǒng)底層的防火墻。

　　■如何保護(hù)用戶：盡可能不要使用轉(zhuǎn)換器。OWASP組織說：“如果你必須使用轉(zhuǎn)換器，那么，避免遭受注入攻擊的最好方法是使用安全的API，比如參數(shù)化指令和對(duì)象關(guān)系映射庫(kù)。”

　　3、惡意文件執(zhí)行

　　■問題：黑客們可以遠(yuǎn)程執(zhí)行代碼、遠(yuǎn)程安裝rootkits工具或者完全攻破一個(gè)系統(tǒng)。任何一款接受來自用戶的文件名或者文件的網(wǎng)絡(luò)應(yīng)用軟件都是存在漏洞的。漏洞可能是用PHP語言寫的，PHP是網(wǎng)絡(luò)開發(fā)過程中應(yīng)用最普遍的一種腳本語言。

　　■如何保護(hù)用戶：不要將用戶提供的任何文件寫入基于服務(wù)器的資源，比如鏡像和腳本等。設(shè)定防火墻規(guī)則，防止外部網(wǎng)站與內(nèi)部系統(tǒng)之間建立任何新的連接。

　　5、跨站指令偽造

　　■問題：這種攻擊簡(jiǎn)單但破壞性強(qiáng)，它可以控制受害人的瀏覽器然后發(fā)送惡意指令到網(wǎng)絡(luò)應(yīng)用軟件上。這種網(wǎng)站是很容易被攻擊的，部分原因是因?yàn)樗鼈兪歉鶕?jù)會(huì)話cookie或者“自動(dòng)記憶”功能來授權(quán)指令的。各銀行就是潛在的被攻擊目標(biāo)。

　　■如何保護(hù)用戶：不要依賴瀏覽器自動(dòng)提交的憑證或者標(biāo)識(shí)。OWASP說：“解決這個(gè)問題的唯一方法是使用一種瀏覽器不會(huì)記住的自定義標(biāo)識(shí)。”