2009年，Web已经发展了20年。我们每个人被越来越多的Web应用所围绕。从最简单的静态HTML页面，到动态的.com时代，到现在强调交互性的Web 2.0时代，直至以个性化为方向的Web 3.0的新互联网时代雏形的出现，我们深刻地感受到了Web强大的力量和不断推陈出新的活力。

　　然而，Web应用的安全隐患在近年来层出不穷，每年万维网大会上，Web安全更是一个热议焦点。

　　2009年高考网上录取前后，20多所知名高校的二级网页屡遭“挂马”，而浏览这些高校网页的学生和家长，存在被盗取网游、网银等账号信息，此事件引发了不小的震动。期间，中央财经大学招生网页被挂马，招生数据被恶意篡改，同时，8月份又有多所高校的成人教育网站被恶意“挂马”，这些情况引发了各大高校的高度戒备。

　　目前，网上录取已经结束，但“挂马”事件仍然肆虐。随着事态的延续，高校Web安全重新成为学校信息安全保障的热点话题。

　　剖析Web安全

　　2008年间，国内三大知名高校的校园主页曾先后中招挂马，引发教育领域一片哗然。

　　清华大学计算机与信息管理中心副总工吴海燕表示，当前，信息安全威胁逐渐“应用化”，黑客主要是利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等，获得Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。

　　这些漏洞从哪儿来呢？我们可以追溯到Web应用的开发工具——脚本语言。脚本语言的种类多样，由于它具有简洁、通用、灵活、易开发等特点，因此备受使用者的青睐。但是由于使用起来比较随意，所以开发后的应用往往存在很多可被利用的漏洞，反而成为黑客无孔不入的利器。

　　开源Web应用安全计划（Open Web Application Security Project，OWASP）是国际一个致力于对抗不安全的Web应用软件的非营利组织，在Web应用安全方面做了很多工作。随着存在安全隐患的Web应用程序数量的增长，OWASP也总结出Web应用程序的安全漏洞，包括：非法输入、失效的访问控制、失效的账户和Session管理、跨站点脚本攻击、缓冲区溢出、注入式攻击、异常错误处理、不安全的存储、应用层拒绝服务攻击、不安全的配置管理。现在人们遇到比较多的是SQL注入攻击和跨站攻击。

　　SQL注入攻击是比较早流行于网络的一种Web攻击。它以服务器为目标，通过把SQL命令注入到B/S应用或C/S应用中，最终达到欺骗服务器执行恶意SQL命令。信息安全专家戴世冬表示，防御SQL注入一般从两个方面着手：一是在服务器端进行安全设置，关闭服务器的错误信息；二是对客户端数据进行严格的检测。

　　由于各种扫描软件越来越成熟，SQL注入漏洞越来越容易被检出，相应的漏洞很快就会被修补。所以跨站攻击登上了Web攻击的舞台，并成为主流。跨站攻击以访问服务器的客户端为攻击目标，通过恶意脚本向第三方站点发送用户的信息。戴世冬认为XSS本质上是Web应用服务的漏洞，因此主要的防御方法还是在Web应用程序中消除XSS漏洞。