容易被攻击的漏洞

　　在当下的网络世界里漏洞其实还很多，稍有不慎就会成为黑客的目标，造成不必要的损失，下面小编带大家了解一下黑客常攻击的漏洞有哪些。

　　常见漏洞

　　几乎所有Sanctum进行过的检查都发现各个网站都采取了严密的网络级安全措施(例如防火墙和加密)，这些站点仍然会使黑客能够对客户和公司进行入侵。

　　1. Cookie中毒--身份伪装

　　通过处理存放在浏览器cookie中的信息，黑客伪装成合法的用户然后就可以存取用户的信息。许多Web应用程序使用客户机上的cookie来保存信息(用户身份、时间戳等等)。由于cookie通常都没有加密，黑客可以对它们进行修改，这样就可以通过这些"中了毒的cookie"来欺骗应用程序。心存恶意的用户可以访问他人的账户然后象真正用户那样行事。

　　2. 操纵隐藏字段--电子行窃

　　黑客能够很容易地更改网页原码中的隐藏字段以改变某件商品的价格。这些字段通常用来保存客户的会话的信息，以便减少服务器端复杂的数据库处理工作。由于电子商务应用程序使用隐藏字段来保存商品的价格，Sanctum的检查人员就能够看到网站的源代码，找出隐藏字段，然后更改价目。而在真实环境中没有人能发现这些改动，而这家公司必须按照改动后的价格发送商品，甚至发送折扣。

　　3. 篡改参数--欺诈

　　这种技术改变网站URL的参数。很多web应用程序无法确定嵌入在超链接中CGI参数的正确性。比如说，允许信用卡使用500，000元这样大额的限制，跳过网站的登陆界面以及允许对取消后的订单和客户信息进行访问。

　　4. 缓冲区溢出--业务终止

　　通过使用某种形式的数据流，用过量的信息使服务器超载，黑客常常能够使服务器崩溃从而关闭网站。

　　5. 跨站点脚本--截取信用

　　黑客向网站输入恶意代码，在目标服务器上运行一段看上去无害的错误的脚本程序会使黑客能够完全访问所获取的文档，服务器甚至有可能向黑客传送页面中的数据。

　　6. 后门和debug选项--入侵

　　程序员经常在网站正式运转前在程序中留下调试选项。有时由于匆忙，他们忘记了闭这些漏洞，使黑客能够自由地访问敏感信息。

　　7. 强制浏览--强行侵入

　　通过改变程序流程，黑客能够对正常情况下无法获得的信息和程序的某些部分进行访问，如日志文件、管理工具以及web应用程序的源码。

　　8. 潜入指令--秘密武器

　　黑客们常常通过木马植入危险的指令，通过运行恶意或未经授权的指令来破坏网站。

　　9. 第三方的错误设置--弱化网站

　　一旦漏洞在公共网站上被公布和修正(比如Securityfocus)，黑客就会获知这些新的安全漏洞。例如，通过一个设置错误，黑客就可以建立一个新数据库以避免使用在该网站上不能奏效的入侵方法。

　　10. 已知漏洞--控制站点

　　各网站所使用的某些技术有一些固有的缺陷，这样就会被某个执著的黑客利用。举例来说，微软的ASP技术可以被用来获取管理员口令进而控制整个网站。