Question

本章我们将主要探讨一下除了应用程序以外，我们还能采取哪些手段来提高网站整体的安全性。首先，我们会介绍一下 Web 网站攻击的概况，然后再针对各种攻击手法，对基础软件（中间件）漏洞、伪装攻击、网络监听、网络篡改，以及恶意软件等漏洞或攻击行为的对策进行说明。

在进行详细介绍之前，我们先总结一下来自 Web 网站外部的攻击都有哪些，如图 7-1 所示。

图 7-1　针对 Web 网站的外部攻击

像上图显示的那样，除了应用程序本身以外，攻击者还有很多其他途径可以发动攻击，如果不预防这些潜在威胁的话，光靠编写安全的程序是不能 100% 保证 Web 网站的安全性的。本章将把这些应用程序以外的攻击分为以下几类，并分别介绍针对这些攻击可以采取的对策。

• 针对 Web 服务器的攻击
• 伪装攻击
• 网络监听、网络篡改
• 恶意软件