网站建设中常见的20个安全漏洞及预防方法（一）

1. **越权访问** 问题描述：不同权限的账户之间存在不适当的访问权限，允许不应有的访问行为。 修改建议：强化用户权限验证机制，确保每个账户只能访问其被授权的资源。 注意：避免通过链接、cookie 或修改标识符等方式实现不同权限账户间的互换。

2. **明文传输** 问题描述：系统在传输用户口令时未进行加密，易被网络上的攻击者窃取。 修改建议：所有密码在传输过程中必须以加密形式进行，确保数据安全。 注意：所有密码都应加密，并使用复杂的加密算法，避免使用Base64或MD5等较弱的加密方式。

3. **SQL注入** 问题描述：攻击者可能利用SQL注入漏洞获取数据库中的敏感信息，包括管理后台密码，进而对数据库进行脱库操作。 修改建议：对所有输入参数进行严格的过滤和验证，采取黑白名单策略。 注意：确保过滤和验证覆盖所有系统参数，减少SQL注入风险。

4. **跨站脚本攻击(XSS)** 问题描述：未对用户输入进行校验，允许攻击者注入恶意代码，可能导致权限提升。 修改建议：对用户输入进行过滤和验证，同时对输出内容进行HTML实体编码。 注意：确保所有参数都经过过滤、校验和HTML实体编码，防止XSS攻击。

5. **文件上传漏洞** 问题描述：文件上传功能缺乏限制，容易被上传可执行或脚本文件，危及服务器安全。 修改建议：严格验证上传文件类型，禁止上传如asp、aspx、asa、php、jsp等危险脚本。同时，增加文件头验证以防止非法文件上传。

6. **后台地址泄露** 问题描述：后台管理页面URL过于简单，容易被攻击者利用。 修改建议：更改后台链接，使其更复杂，增加攻击难度。

7. **敏感信息泄露** 问题描述：系统无意间暴露了内部信息，如网站路径、源代码、SQL语句、中间件版本等。 修改建议：过滤用户输入的异常字符，屏蔽错误回显，设置自定义错误页面（如404、403、500等）。

8. **命令执行漏洞** 问题描述：脚本程序中使用了如PHP的system、exec、shell_exec等命令执行函数。 修改建议：及时打补丁，并严格限制系统中执行的命令。

9. **目录遍历漏洞** 问题描述：系统揭示了目录信息，暴露了开发语言和站点结构。 修改建议：调整相关配置，隐藏这些敏感信息。

10. **会话重放攻击** 问题描述：攻击者可能重复发送数据包，冒充用户进行操作。 修改建议：实施token验证，结合时间戳或图像验证码来防止会话重放攻击。