网站安全问题原因何在？总结种种形式，目前网站安全存在以下威胁：

服务器系统漏洞

利用系统漏洞是网站遭受攻击的最常见攻击方式。网站是基于计算机网络的，而计算机运行又是少不了操作系统的。操作系统的漏洞会直接影响到网站的安全，一个小小的系统漏洞可能就是让系统瘫痪，比如常见的有缓冲区溢出漏洞、iis漏洞、以及第三方软件漏洞等。

注意：虚拟机用户注意了，请选择稳定、安全的空间，这个尤为重要！

网站程序设计缺陷

网站设计，往往只考虑业务功能和正常情况下的稳定，考虑满足用户应用，如何实现业务需求。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。

网站源程序代码的安全也对整个网站的安全起到举足轻重的作用。若代码漏洞危害严重，攻击者通过相应的攻击很容易拿到系统的最高权限，那时整个网站也在其掌握之中，因此代码的安全性至关重要。目前由于代码编写的不严谨而引发的漏洞很多，最为流行攻击方法示意图如下：

（1）注入漏洞攻击

（2）上传漏洞攻击

（3）CGI漏洞攻击

（4）XSS攻击

（5）构造入侵

（6）社会工程学

（7）管理疏忽

安全意识薄弱

很多人都认为，部署防火墙、IDS、IPS、防毒墙等基于网络的安全产品后，通过SSL加密网络、服务器、网站都是安全的。实事上并不是如此，基于应用层的攻击如SQL注入、跨站脚本、构造入侵这种特征不唯一的网站攻击，就是通过80端口进行的，并且攻击者是通过正常GET、POST等正常方式提交，来达到攻击的效果，基于特征匹配技术防御攻击，不能精确阻断攻击，防火墙是无法拦截的。SSL加密后，只能说明网站发送和接受的信息都经过了加密处理，但无法保障存储在网站里面的信息安全。同时还有管理人员的安全意识不足，默认配置不当，使用弱口令密码等。

提示：防火墙等安全产品是拦截基于网络的攻击（如DDOS、端口扫描等），可以限制不必对外开放的端口，可以方便集中管理、分划网络拓扑。

(责任编辑：)