網站安全問題有哪些

網站安全問題有以下這些：

• 未驗證參數：Web請求返回的信息沒有經過有效性驗證就提交給Web應用程序使用。攻擊者可以利用返回信息中的缺陷，包括URL、請求字符串、cookie頭部、表單項，隱含參數傳遞代碼攻擊運行Web程序的組件。

• 訪問控制缺陷：用戶身份認證策略沒有被執行，導致非法用戶可以操作信息。攻擊者可以利用這個漏洞得到其他用戶賬號、瀏覽敏感文件、刪除更改內容，執行未授權的訪問，甚至取得網站管理的權限。

• 賬戶及會話管理缺陷：賬戶和會話標記未被有效保護。攻擊者可以得到密碼、解密密鑰、會話Cookie和其他標記，并突破用戶權限限制或利用假身份得到其他用戶信任。

• 跨站腳本漏洞：在遠程Web頁面的html代碼中插入的具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面時，嵌入其中的腳本將被解釋執行。最典型的例子就是論壇處理用戶評論的應用程序,這些有跨站腳本漏洞的應用程序會向客戶端返回其他用戶先前輸入的內容，–些網站的錯誤處理頁面也存在此類問題。瀏覽器收到了嵌入惡意代碼的響應，那么這些惡意代碼就可能被執行。

• 緩沖區溢出：Web應用組件沒有正確檢驗輸入數據的有效性,倒使數據溢出,并獲得程序的控制權。可能被利用的組件包括CGI,庫文件、驅動文件和Web服務器。

• 命令注入漏洞：Web應用程序在與外部系統或本地操作系統交互時，需要傳遞參數.如果攻擊者在傳遞的參數中嵌入了惡意代碼，外部系統可能會執行那些指令。比如SQL注入攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執行惡意的SQL命令。

• 錯誤處理問題：在正常操作沒有被有效處理的情況下，會產生錯誤提示，如內存不夠、系統調用失敗、網絡超時等。如果攻擊者人為構造Web應用不能處理的情況，就可能得到一些反饋信息,就有可能從中得到系統的相關信息。系統如何工作這樣重要的信息顯示出來，并且暴露了那些出錯信息背后的隱含意義。例如，當發出請求包試圖判斷-一個文件是否在遠程主機上存在的時候，如果返回信息為“文件未找到”則為無此文件，而如果返回信息為“訪問被拒絕”則為文件存在但無訪問權限。

• 密碼學使用不當：Web應用經常會使用密碼機制來保護信息存儲和傳輸的安全，比如說開機或文件密碼、銀行賬號、機密文件等。然而這些用于保密用途的程序代碼也可能存在一些安全隱患，這可能是由于開發者的原因造成的。

• 遠程管理漏洞：許多Web應用允許管理者通過Web接口來對站點實施遠程管理。如果這些管理機制沒有得到有效的管理，攻擊者就可能通過接口擁有站點的全部權限。

• Web服務器及應用服務器配置不當：對Web應用來說，健壯的服務器是至關重要的。服務器的配置都較復雜，比如Apache服務器的配置文件完全是由命令和注釋組成，一個命令包括若千個參數。如果配置不當對安全性影響最大。

回答所涉及的環境：聯想天逸510S、Windows 10。