网站九大敌人 别给Web应用漏洞可趁之机

        【IT168 技术】过去，网站的内容大多是静态的。随着HTML5的流行，Web应用进入一个崭新阶段，内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂，公司和个人的重要信息也被暴于极为危险的网络环境之下，对于网站安全建设来说，无异于在伤口上撒上了一把盐。

　　 天融信曾在年初发表过一篇《网站安全建设指南》，里面分析了网站安全建设的思路和注意事项。面对越来越多的Web应用，网站安全建设仍然面临着种种困难。据 Gartner 调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层上。同时，2/3的Web站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 业务本身的安全，才给了黑客可乘之机，让网站安全饱受威胁。根据天融信阿尔法实验室的分析，Web页面注入漏洞和跨站脚本漏洞等威胁，已经成为未来安全建设的最大挑战。

　　目前，基于Web的应用已经成为一道通往互联网的必经之门，其中浏览器好比一个盛满互联网五光十色的博大容器，当用户在打开探秘互联网的大门，在这个容器中享受饕餮大餐时，是否已经意识到自己已经身处危险之中?随着支持HTML5浏览器的不断增多，以Chrome、IE、Firefox、Safari、Opera为代表的现代浏览器让网站安全建设不断接受着安全挑战。下面，我们就来分析一下那些基于Web应用威胁网站安全的罪魁祸首，并借此希望在天融信《网站安全建设指南》的基础上，更全面的思索网站安全建设的思路。

　　网站敌人之一：URL地址栏欺骗

　　用户每天通过点击URL地址浏览互联网上百上千页面。浏览一个页面，其实就是简单的两个步骤：

　　1 鼠标移动到页面上想要去的URL地址链接，此时状态栏会显示URL链接的地址;

　　2 点击URL链接，浏览器页面会导航到你想去的页面，并且在地址栏中显示这个链接。

　　这个被用户看似最简单最普通的浏览页面的两个步骤，用户是否思考过以下四个问题：

　　(1)状态栏中显示的URL地址，是目标URL地址吗?

　　(2)地址栏中显示的URL地址，是目标URL地址吗?

　　(3)地址栏中显示的URL地址和导航后的页面对应吗?

　　(4)拖动URL地址到地址栏，会导航到目标URL地址吗?

　　我们带着这些问题往下看。从你点击到成功加载页面，就是短短的1秒钟时间，这1秒就足够进行URL地址栏欺骗了。

　　URL地址栏欺骗，可以分两类，一个是点击URL地址，一个是拖放URL地址。现代浏览器都可以使用onclick事件以及鼠标事件onmouseup，onmousedown来实现点击欺骗。其次，各个浏览器对URL编码解析的差异，也会导致欺骗的发生。另一方面，拖拽一个地址到地址栏的时候，我们可以使用拖放函数ondragstart和event.dataTransfer.setData方法，把拖放的地址内容替换掉，这样也就完成了欺骗。