网站漏洞分析

一、经典漏洞
   'or' '='
    这样的漏洞解决起来也是比较容易的，过滤用户名和密码即可，不过也常常被忽视。

二、验证用户权限漏洞
   cookies保存在本地机子上记录用户的一些信息，顾在本地可以进行恶意修改
   session保存在服务器上，较占用服务器资源。
    防止此类漏洞的办法是进行双重验证。

三、垮站攻击漏洞
   例子：<script>alert("test only alert dialog box")</script>
     这仅仅是弹出一对话框，可想而知，挂马或者跳转其他站点便很容易实现。
     此类漏洞如被黑客利用，后果很严重，首先受害者是浏览网页的用户。
   解决方案：过滤 < > % ASCⅡ码等，简单的也可以通过限制表单长度解决。

四、注入攻击漏洞
   http://www.*****.com/edit.asp?id=8
    edit.xxx? xxx=???
     '        判定是否出错
   ' and 1=1  
     ' and 1=2   通过后俩个看其页面是否相同，如1正常，2不正常，则可断定有注入点。

   ../union select 1,2,3,4,5,6,7 form admin 直接对数据进行查询

    防止这样的漏洞是过滤 ' " 及ASCⅡ码。

五、数据库漏洞
     1、防下载没有做好
          <% %>
              对于一些.asp和.php网站来说， ../date/#difedate.asp
                可以  ../date/%23difedate.asp
         2、利用跨漏洞写shell
                如写蓝屏木马