攻击名称(中文）

攻击名称(英文）

描述

该攻击对应的策略

产品对应功能点

SQL注入

SQL Injection

网站程序在使用SQL语句执行数据库操作时，没有对用户提交的内容做出正确的处理，导致用户提交的内容破坏了程序原先的SQL语句结构，使得网站程序对数据库操作出错或改变预定的数据库操作行为，我们把网站程序的这种问题称为SQL注入漏洞。攻击者可以利用SQL注入漏洞直接获取、修改或删除数据库的内部资料；或者有目的的在数据库内插入恶意代码，这些恶意代码最终会显示到用户的网页上，危害网站用户的安全；也可从数据库中获取用户名密码等重要信息，或者直接利用SQL注入漏洞绕过登录检查，从而取得网站系统的管理权。

网站开发者应针对用户提交的任何内容做严格的安全检查，过滤掉非法内容，在构造SQL语句时应考虑值的类型和边界字符问题，并做适当的处理，确保用户提交的内容不会破坏SQL语句的原有结构。

URL安全策略>web攻击特征库检查

跨站脚本攻击

XSS

网站程序在接受用户提交的内容后，没有对在HTML文件中有特殊含义的字符和关键字进行过滤，并将其直接显示在网页上，导致用户提交的内容改变了网页原有的结构。我们把网站程序的这类问题称为跨站脚本漏洞。存在跨站脚本漏洞的网站程序在用户提交了含有特殊字符的内容后页面可能会显示不正常，攻击者可以将包含恶意代码的跨站脚本提交给有该>漏洞的网站程序，使得恶意代码植入到用户的网站上，这会影响到该网站用户的安全。

网站开发者应针对用户提交的任何内容做严格的安全检查，过滤掉非法内容，对可能破坏HTML结构的特殊字符应做编码处理。

URL安全策略>web攻击特征库检查

源代码、数据泄漏

Source Code/

Data Leak

由于WEB服务器的不当配置，或网站应用程序的不安全架构，导致访问者可以查看某些服务器端程序的源代码。攻击者在查看了服务器端程序的源代码后，可能从源代码中看到数据库等系统的帐号密码，也可以通过研究源代码来发现网站程序的安全漏洞>，为进一步入侵提供条件。

通过修改服务器的配置，禁止用户访问服务器的内部目录或文件，避免为asp/asp.net/jsp/php等服务端程序使用引擎不支持的扩展名。

URL安全策略>Web程序代码泄露检查

目录浏览

Directory Explore

当应用程序以文件名作为参数时，如果没有对可接受的文件名进行严格限制，则可能会打开访问者指定的服务器上的任意目录中的任意文件，这个问题称为目录遍历。攻击者可以利用该漏洞查看服务器上任意文件的内容，从而获取包括程序源代码、帐号口令文件在内的严重威胁服务器安全的重要信息，为进一步入侵提供方便。

检查有问题的程序，对相关参数可接受的文件名进行严格限制，防止用户访问授权之外的文件。

URL安全策略>Web目录内容泄露检查

被感染站点、页面

Infected Site

入侵者在用户的网页上植入了一些广告链接，常见的广告内容有游戏，赌博，彩票，色情等，有的也包括一些常规网站，这些广告链接多数不会显示出来，只是为了进行SEO，让搜索引擎可以更好搜索到那些网站，入侵者可以为此从获益人处得到相关的报酬。用户的网站被大量植入这些不健康链接后，会严重影响用户网站的名誉，一些安全软件有可能因此把用户的网站视为不良网站而屏蔽。另一方面，网页被植入内容说明攻击者已经取得了网站的管理权限，用户网站随时都可能被入侵者破坏。

对服务器上的文件进行安全检查，删除攻击者上传的后门程序，更新管理帐号密码；对网站进行漏洞扫描，修复相关的安全漏洞;启用WEB应用防火墙对服务器进行安全保护。

URL安全策略>web攻击特征库检查

网页挂马

Malcious Code

(恶意代码)

入侵者通过SQL注入或网页后门等入侵手段对网站的数据库或网页本身植入了恶意代码，这些恶意代码会自动打开一些恶意站点，并试图>下载安装木马到访问者的机器上。用户网站被挂马会直接影响网站用户的计算机安全，也会导致用户的网站被GOOGLE和其它安全软件屏蔽，严重影响网站的正常功能。另一方面>，网页被挂马说明攻击者已经成功掌握了网站的管理权限，用户的网站随时都可能被入侵者破坏。

对服务器上的文件进行安全检查，删除攻击者上传的后门程序，更新管理帐号密码；对网站进行漏洞扫描，修复相关的安全漏洞;启用WEB应用防火墙对服务器进行安全保护。

URL安全策略>服务器挂马监控

BOM跨站脚本

BOM Cross Site Scripting

网站程序在接受用户提交的内容后，没有对BOM(字节顺序标记)字符和关键字进行过滤，并将其直接显示在网页上，导致用户提交的内容>在IE浏览器解析时改变了网页原有的结构。我们把网站程序的这类问题称为BOM跨站脚本漏洞。存在BOM跨站脚本漏洞的网站程序在用户提交了含有特殊字符的内容后页面可能会显示不正常，攻击者可以将包含恶意代码的跨站脚本提交给有该漏洞的网站程序，使得恶意代码植入到用户的网站上，这会影响到该网站用户的安全。

网站开发者应针对用户提交的任何内容做严格的安全检查，过滤掉非法内容，对可能破坏HTML结构的特殊字符应做编码处理。

URL安全策略>web攻击特征库检查

程序错误信息

Response Error

(响应错误)

应用程序在处理某些访问请求时发生错误，并将错误警告信息显示给访问者。攻击者可能从错误警告中获取网站程序的内部信息，这将为攻击者入侵网站提供条件。

修改WEB服务器的相关配置或应用程序，禁止向访问者显示有利用价值的警告信息。

屏蔽HTTP错误码
屏蔽服务器版本信息
数据库错误信息检查

目录浏览

Directory Explore

(目录浏览)

由于WEB服务器的不当配置，服务器允许访问者查看网站目录的文件列表。攻击者可以通过浏览网站目录了解网站结构，发现网站内部资料，导致敏感信息泄露。攻击者也有可能通过泄密文件获取网站的某些管理权限>，或者籍此发现更多网站安全漏洞。

修改WEB服务器的相关配置，禁止访问者浏览目录。

Web目录内容泄露检查

内部文件泄露

Internal document leaked

这些文件可能是系统数据库文件，程序配置文件，帐号口令文件等。攻击者得到这些文件后可能获取系统帐号密码，重要内部资料等绝密信息。

不要使用系统默认或常用的文件名称，不需要向用户提供访问的文件可放到网站目录以外的地方。

Web目录内容泄露检查

WebDAV启用

Unauthorized Method

(未授权方法， WebDAV启用)

WebDAV是微软针对IIS的提供的扩展服务，它允许用户远程管理服务器上的文件。不恰当的配置及WebDAV本身的安全漏洞可以让攻击者直接上传、修改或删除网站上的文件。

如果服务器没有使用到WebDAV提供的扩展服务，请禁用WebDAV；如果网站需要使用该服务，请升级到最新版本，并确认普通访问者不>具有进行危险操作的权限。

URL安全策略>web攻击特征库检查及启用溢出检查

无效链接

Invalid link

网站上有针对这些网址的链接，但这些链接指向的文件并不存在。无效的链接会影响用户的使用体验。

检查引用的链接是否存在拼写错误，上传相关的文件，或者删除错误的引用。

URL安全策略>web攻击特征库检查

典型登录页面

Weak Password

(弱口令)

这些页面通常是用于登录系统的登录页面。攻击者通常会扫描用户网站的登录页面，以便从登录页面直接入侵网站系统。

典型的登录页面应加强安全检查，以防止攻击者通过SQL注入，弱口令攻击等方式登录系统。

特征库防护（产品默认已开启）

内部IP泄露

Disclosure of internal IP

在网页中发现了一些指向内网IP的链接，内网IP的链接通常不应该出现在公网的网页上。内网IP链接的发现可以让攻击者了解服务器的在内网的部署情况。

从网页上去掉内网IP链接

URL安全策略>web攻击特征库检查

邮箱地址泄露

E-mail address leak

网页中发现了一些标准格式的电子邮箱地址。网页中使用标准格式的电子邮箱地址，易于被发布垃圾邮件的人检索到，从而会使得邮箱所有人收到大量的垃圾邮件。

避免以标准格式提供电子邮箱地址。

URL安全策略>web攻击特征库检查

内部目录泄露

Disclosure of internal directory

网站上没有任何与这些目录相关的链接，但这些目录确实存在于用户的服务器上。这些目录可能是内部使用的管理目录，数据资料目录，备份目录，临时目录等。如果这些目录的安全性仅仅依赖于它的不公开性，则能探测到这些目录说明它们是不安全的。攻击者也有可能从这些目录中获得更有价值的网站资料。

不要使用系统默认或常用的目录名称，为内部目录设置必要的访问权限，删除不必要的临时目录。

URL安全策略>web攻击特征库检查

命令注入

Command Injection

黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。恶意黑客可以利用这种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网页时，他们的浏览器会编译那个代码，而这样就可能会导致恶意命令掌控该网站或网站服务器。

使用有效验证限制的表格域；
在代码开发阶段进行充分的函数安全验证；
尽量不要执行外部命令；
使用自定义函数或函数库来替代外部命令的功能；
对命令参数进行处理；
指定可执行文件的路径。

URL安全策略>web攻击特征库检查

溢出

overflow

攻击者会尝试通过0ady针对服务器或CMS程序的漏洞进行溢出操作，从而获得服务器权限或网站后台权限

基于受控代码开发软件或网站；从程序开发者就要时刻警惕溢出的防范；基于探测方法（canary）的防御。这包括 StackGuard、ProPolice和 Microsoft 的 /GS 选项。
非执行的堆栈防御。这包括 Solar Designer 的 non-exec补丁和 exec shield。
其他方法包括 libsafe和堆栈分割方法。
遗憾的是所有方法都具有弱点，因此它们不是万能药，仅会提供一些帮助。

URL安全策略>web攻击特征库检查及启用溢出检查

恶意代码

Malicious Code

网页恶意代码其实就是一段网页代码，主要以ASP和PHP代码为主。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危 险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

选择并安装一个反病毒软件，并保持经常更新、升级；不使用盗版或来历不明的软件；不随意下载来历不明的文件；不随意大袋来历不明的邮件，阻塞可疑邮件；经常升级系统，及时修补漏洞和关闭你可疑的端口；尽量少用共享文件夹；运行实时监控程序，对外来程序要使用尽可能多的查毒软件进行检查；经常对重要数据进行备份；限制使用不必要的具有传输能力的文件。

URL安全策略>web攻击特征库检查

网页扫描器

Web Scanner

网页扫描器的定位为恶意或非恶意，但从根本上无法分析是否为恶意，如IBM的商业扫描器 APPSCAN或黑客扫描器NBSI、HDSI等，扫描行为一般为发起攻击的第一步骤

提升权限密码的复杂度，定期更新服务器及数据库管理密码。关闭不必要的端口；隐藏系统版本信息；

URL安全策略>web攻击特征库检查

非正常URL

Abnormal URL

攻击者会尝试通过加长URL长度或加入特殊字符来达到爆出网站敏感信息的目的，从而得到服务器或网站程序相关信息

避免出现一些详细的错误消息；隐藏系统版本信息；及时进行系统、软件及数据库版本升级，避免被恶意攻击者利用已知系统漏洞；

URL安全策略>web攻击特征库检查

网页后门

Webshell

网页后门其实就是一段网页代码，主要以ASP和PHP代码为主。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权

反注册、卸载危险组件；
清理网页挂马；
解决eWEBEditor编辑器安全隐患，修改该编辑器的默认数据库路径和数据库名，防止被黑客非法下，修改编辑器后台登录路径和默认的登录用户名和密码，防止黑客进入管理界面。

URL安全策略>WebShell攻击检查

禁用词

Forbidden Words

用户自己定义的页面禁用词，如：法轮工、共产党等，检测自定义的关键词会禁止访问该页面。

清楚页面中的禁用词，以确保网页可以正常访问

URL安全策略>禁用词过滤

弱口令

Weak Passwords

攻击者通常会扫描用户网站的登录页面，尝试弱口令登录，以便从登录页面直接入侵网站系统。

提升密码复杂度；
建立密码定期更新机制。

URL安全策略>弱口令攻击检查

危险文件上传

Dangerous Upload

攻击者通常通过网站系统上传一些危险的文件，比如木马、病毒、恶意软件等。

删除上传网页程序文件如：upfile.asp
增加上传文件验证；
严格限定上传文件类型；

URL安全策略>危险文件类型上传检查

危险文件下载

Dangerous Download

攻击者通常会通过各种途径进行文件下载操作，如下载网站服务器数据库，再破解数据库当中的用户名和密码达到入侵网站或服务器的目的

数据库命名规则不要过于简单，启动非常规命名；
避免将数据库名或密码直接写在程序中；
对数据库进行加密。
保证系统、数据库、中间件等都升级到最新版本，并打了最新发布的补丁包。

URL安全策略>危险文件类型下载检查

非授权IP

Unauthorized IP

用户自己定义的不允许访问网站IP地址

增加或取消对于特定IP地址的限制

URL安全策略>IP访问限制检查

客户端黑名单

Client IP Blacklist

用户自己定义的不允许客户端程序访问，如一些专用黑客浏览器

增加或取消对于特定客户端程序的访问限制

黑名单/白名单 > 客户端黑名单及动态攻击黑名单

响应错误

Response Error

应用程序在处理某些访问请求时发生错误，并将错误警告信息显示给访问者。攻击者可能从错误警告中获取网站程序的内部信息，这将为攻击者入侵网站提供条件。

关闭响应错误警告信息，防止攻击者从警告信息中获知网站程序的内部信息。

服务器安全组>屏蔽HTTP错误码

URL黑名单

URL Blacklist

用户自己定义的禁止访问网站的URL

增加或取消对于特定URL的访问限制；

服务器安全组>URL黑名单

未授权cookie

Unauthorized Cookie

攻击者会盗用或伪造cookie来尝试获取管理员权限，或是用伪造的cookie进行非法的操作。

配置安全的 Web 权限；
利用受限制的 NTFS 权限锁定文件和文件夹；
使用 ASP.NET 应用程序中的 .NET Framework 访问控制机制，包括 URL 授权和主要权限声明。

服务器安全组>Cookie安全认证

HTTP请求拒绝服务

Http Request DoS

攻击者通过某些手段使服务器拒绝对HTTP应答。这使得Apache或IIS等对系统资源（CPU时间和内存）需求剧增，最终造成系统变慢甚至完全瘫痪。

更改默认的TimeOut选项，限制单个IP地址的连接数；
及时升级WEB服务器的版本及补丁。

Web安全 > 防Dos攻击> 启用HTTP请求限制功能

CSRF攻击

Cross-site request forgery

跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作。

验证 HTTP Referer 字段；在请求地址中添加 token 并验证；在 HTTP 头中自定义属性并验证。

Web安全 > URL安全策略 >启用CSRF检查

盗链

Antileech

是指此内容不在自己服务器上，而通过技术手段，绕过别人放广告有利益的最终页，直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址（比如一些音乐、图片、软件的下载地址）然后放置在自己的网站中，通过这种方法盗取大网站的空间和流量。

验证 HTTP Referer 字段；在请求地址中添加 token 并验证；在 HTTP 头中自定义属性并验证，或者使用第三方安全软件。

Web安全 > URL安全策略 >启用防盗链

敏感词

网上指禁止在帖子中出现的词语,主要包括一些不文明、不健康、以及politics方面的词汇。

设置敏感词黑名单，出现敏感词后直接用某个符号取代，或者直接屏蔽。

Web安全 > URL安全策略 >启用敏感词过滤

数据库错误信息

因为某种原因，例如链接数据库帐号密码错误，或者执行SQL语句错误，数据库返回的报错信息。

规范SQL执行语句，自定义报错的返回页面。

Web安全 > URL安全策略 >启用数据库错误信息检查