登錄驗證漏洞
 
①登錄驗證漏洞指的是攻擊者繞過登錄時的驗證系統(tǒng)直接進入到其他頁面的漏洞。例如有些網(wǎng)站的頁面沒有做用戶登錄驗證系統(tǒng)功能設(shè)計。那么，攻擊者在收集到網(wǎng)站的頁面完整路徑和文件名后，在瀏覽器的地址欄中直接輸入完整URL路徑，就可以不進行驗證而進入指定頁面。

②登錄驗證漏洞的另一種是登錄驗證頁面漏洞。多數(shù)網(wǎng)站都有登錄頁面，要求用戶輸入正確的用戶名和密碼后才可以進入頁面，而驗證系統(tǒng)都是通過判定用戶輸入的用戶名和密碼是否存在于數(shù)據(jù)庫中來進行。但是，如果程序設(shè)計的不夠嚴謹，則會出現(xiàn)這種漏洞。


 
SQL注入漏洞
 
在網(wǎng)頁設(shè)計中，多數(shù)人機交互操作都是利用表單來實現(xiàn)的，如果在設(shè)計過程中沒有對用戶輸入數(shù)據(jù)的正當性進行判定的話，攻擊者可以在文本框中提交一段SL查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是SL注入。
 
文件上傳的漏洞
 
文件上傳漏洞指的是網(wǎng)絡攻擊者上傳了一個可執(zhí)行的惡意代碼到服務器并被執(zhí)行。在我們平時常用的很多網(wǎng)站中，例如電子郵件網(wǎng)站、論壇等很多網(wǎng)站中，都允許用戶上傳文件、圖片、視頻等內(nèi)容到網(wǎng)站服務器中。如果網(wǎng)站的開發(fā)人員沒有做好身份的認證和數(shù)據(jù)的過濾排查，很有可能被黑客利用。黑客可以利用如 Telnet服務等功能對網(wǎng)站內(nèi)容和數(shù)據(jù)進行修改和破壞。這里上傳的惡意文件可以是木馬程序、病毒， Welsher或者惡意腳本等。這種攻擊方式直接、簡單又有效。
 
網(wǎng)站缺乏授權(quán)?
 
有些網(wǎng)站在進行網(wǎng)頁編程設(shè)計時，程序設(shè)計人員往往會使用比較繁瑣的網(wǎng)絡安全配置，使得網(wǎng)站往往缺乏授權(quán)，這就造成了網(wǎng)絡服務在其應用運行中出現(xiàn)非常巨大的網(wǎng)絡運行安全缺陷。利用這些安全缺陷，網(wǎng)絡黑客們可以很容易地對網(wǎng)站的網(wǎng)絡服務器進行遠程的入侵和破壞，給網(wǎng)站的安全和企業(yè)的經(jīng)濟利益帶來了巨大的威脅和危害。再加上軟件設(shè)置的密碼簡單或是網(wǎng)絡入口的防火墻性能設(shè)置過低等安全缺陷，也可以讓網(wǎng)絡黑客和網(wǎng)絡病毒能夠非常容易的對網(wǎng)站造成侵入和破壞。
 
網(wǎng)頁病毒的傳播
 
網(wǎng)頁病毒是現(xiàn)今最常見的安全攻擊。病毒具有寄生性、傳染性、可觸發(fā)性等特點。這些計算機病毒都是攻擊者事先設(shè)計好的可執(zhí)行文件。例如在網(wǎng)站設(shè)計文件中嵌入 Script語言編寫的惡意代碼，這種 Script 1代碼可以利用瀏覽器的漏洞來實現(xiàn)病毒植入。當用戶登錄這些網(wǎng)站時，編寫好的Scip代碼會被執(zhí)行，網(wǎng)頁病毒一旦被觸發(fā)，就可以對網(wǎng)頁服務器資源進行簒改。例如，我們在上網(wǎng)時經(jīng)常會發(fā)現(xiàn)打開某個頁面后，360安全衛(wèi)士會提醒有程序正在修改瀏覽器首頁。這就是網(wǎng)頁病毒的一種現(xiàn)象。病毒和木馬程序也有可能會關(guān)閉網(wǎng)頁中的部分功能，使得用戶無法正常使用網(wǎng)站系統(tǒng)等。最簡單的方式就是網(wǎng)頁自動跳轉(zhuǎn)程序，而這種網(wǎng)頁病毒編寫起來比較容易，而且攻擊也很直接。