网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马，篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。

常见问题

大多数网站设计，只考虑正常用户稳定使用

但在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个网站取样测试，检测到有15%的网站存在SQL注入漏洞。

网站防御措施过于落后，甚至没有真正的防御

       大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不先进的网站攻击，基于特征匹配技术防御攻击，不能—有效阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1=1 和 and 2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号，不能作为攻击的先进特征。因此，这就很难基于特征标识来构建一个—有效阻断SQL注入攻击的防御系统。导致目 前有很多黑客将SQL注入成为入侵网站的优选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。

       网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本，为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后，带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多网站负责的单位、人员，只有在网站遭受攻击后，造成的损失远超过网站本身造价之后才意识就这一点。

黑客入侵后，未被及时发现

       有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了网站控制权限。这不是较可怕的，因为黑客在获取权限后没有想要隐蔽自己，反而是通过篡改网页暴露自己，这虽然对网站造成很多负面影响，但黑客本身未获得直接利益。更可怕的是，黑客在获取网站的控制权限之后，并不暴露自己，而是利用所控制网站产生直接利益;网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常也不知情，导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务，但访问网站的人却遭受着木马程序的危害。这种方式下，黑客们通常不会暴露自己，反而会尽量隐蔽，正好比暗箭难防，所以很多网站被挂木马数月仍然未被察觉。由于挂马原理是木马本身并非在网站本地，而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载，而这一切动作是可以很隐蔽的完成，各个用户不可见，因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。

发现安全问题不能有效解决

        网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站开发与设计公司，网站安全代码设计方面了解甚少，发现网站安全存在问题和漏洞，其修补方式只能停留在页面修复，很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页放篡改、网站恢复软件后仍然遭受攻击。我们在快速网站安全检查过程中，曾经戏剧化的发现，网站的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够有效的了解网站安全漏洞解决的问题是否有效。
主要手段
攻击分类
1、利用Web服务器的漏洞进行攻击。如CGI缓冲区溢出，目录遍历漏洞利用等攻击；

2、利用网页自身的安全漏洞进行攻击。如SQL注入，跨站脚本攻击等。
应用攻击
1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

2、Cookie假冒——精心修改cookie数据进行用户假冒。

3、认证逃避——攻击者利用不安全的证书和身份管理。

4、非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。

5、强制访问——访问未授权的网页。

6、隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。

7、拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。

8、跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。

9、SQL注入——构造SQL代码让服务器执行，获取敏感数据。

10、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。

11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。

12、DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。
攻击手段
SQL注入

对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。