动态网站的3个不安全因素

大大丶便

　　1、登录验证漏洞
　　(1)绕过登录验证直接进入其他页面漏洞。如果网站的页面没有对用户是否正常登录进行验证，那么攻击者在收集到网站的页面路径和文件名后，直接在地址栏输入URL路径，就可以进入页面而不需要验证。这个漏洞使得任何人都可以拥有合法用户的权利。
　　(2)登录验证页面漏洞。对于网站的登录页面，在验证用户名和密码时，都是通过判断用户输入的用户名和密码是否存于数据库中来进行。但是如果程序设计得不严谨，则会出现漏洞。
　　2、SQL注入漏洞
　　如果在设计网页时，没有对用户输入数据的合法性进行判断，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。
　　3、文件上传漏洞
　　诸如论坛、同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。