2、宿主操作系统层次

　　运行着Web服务器和数据库管理系统的操作系统是网站运行的基础，它往往存在很多的系统缺陷和漏洞(例如0day漏洞), 默认以及不合理的安装设置导致了不安全因素的存在，不必要的服务也会降低操作系统的安全性。黑客、病毒、木马等正是利用了这些漏洞和不安全因素来破坏系统，进而威胁到运行于系统之上的网站的安全性。

　　3、Web应用程序和数据库管理系统层次

　　Web应用程序和数据库管理系统层次的主要威胁有：解释执行Web应用程序脚本的Web服务器和存储数据的数据库管理系统本身的漏洞和配置不当；Web应用程序逻辑设计上存在的身份认证逻辑不严密、会话管理没有正确实施、用户输入校验缺失、重要文件和数据没有加密等。 OWASP公布了2010年最新的OWASP Top 10，列举了十大Web应用安全威胁，包括注入攻击、跨站脚本攻击、认证和会话管理失效、不安全的加密存储等。以下简要介绍一些常见的Web应用和数据库方面的安全威胁。

　　注入攻击：包括SQL注入、OS注入等，是指攻击者将恶意数据等作为命令或者查询语句的一部分发送给处理程序来欺骗处理程序，以执行计划外的命令或者访问未被授权的数据。对网站威胁很大的SQL注入攻击，其本质是攻击者利用网站应用程序没有对用户输入的数据进行严格充分的合法性检查等错误在应用程序中插入并执行自己精心构造的SQL语句。

　　举一个用户登录验证的例子，当登录一个网站时，用户输入自己的用户名和密码，点击登录按钮，将会产生如下类似的SQL查询语句：

　　SELECT * FROM User WHERE UserName=宇XX闸 AND PassWord=
　　宇XX育 如果网站应用程序没有对用户输入进行有效性校验，当
　　用户输入如下的密码：
　　寓 or 1=1 淆 SQL查询语句将会变成如下的样子：
　　SELECT * FROM User WHERE UserName = 宇XX闸 AND PassWord=
　　照 or 1=1 言

　　语句“——”将会注释掉后边的语句，而语句“or 1=1”将会导致查询条件永远为真，进而返回用户表中的所有数据纪录，从而使得返回的结果不为空，用户因此也就获得了所谓的“授权”访问资格。

　　跨站脚本(XSS)攻击：当网站应用程序将所包含或者携带的脚本等不可信数据不经有效验证就输出发送给客户端浏览器时，跨站脚本攻击就可能发生。攻击者利用跨站脚本可以在受害者的浏览器上执行脚本，进而劫持用户会话，危害网站安全。

　　根据注入的途径，XSS分为Reflected(反射型)XSS、Stored(存储型)XSS 、DOMbased(基于DOM文档对象模型)XSS三种。

　　反射型XSS：也称First-order XSS，是指网站应用程序将用户表单中输入的内容，未经安全检查或重新编码就立刻显示在返回的页面上，攻击者插入的脚本会立即被执行。

　　存储型XSS：也称Second-order XSS，原理与基于反射的XSS类似，它将恶意脚本等代码提交并保存到服务器端的数据库中，而后生成动态网页时从数据库中取出恶意代码并插入到相应的页面中，从而使得访问该页面的用户全部受到攻击。存储型XSS危害范围比较大，并且不用像反射型XSS那样需要采用社会工程学的方法诱骗用户去点击伪造的链接。

　　基于DOM的XSS：恶意代码是借助于DOM本身的问题植入的，它表现在客户端的浏览器中，而恶意代码则来源于别处(查询字符串中，或调用其他的外部网站的内容片段)，这种XSS攻击也需要攻击者诱骗用户点击精心构造的URL。

　　认证和会话管理失效：用户身份认证不严密或缺失，会话功能配置不正确，导致攻击者可以破译密码、会话令牌或者利用这些漏洞伪造其他用户身份。

　　不安全的加密存储：许多Web应用程序没有使用恰当的加密算法对用户敏感信息(如个人信息、信用卡信息、认证证书等)进行加密，攻击者可能利用这种缺陷实现身份伪造、信用卡盗用等。

　　不安全的重定向和转发：网站互联的特性使得Web应用需要在不同网页和网站间进行重定向和转发，而在确定重定向地址时采用不可信的数据，没有进行适当的验证，从而使得攻击者可以将用户重定向转发到挂马、钓鱼等恶意网站，或者使用户访问了未经授权的页面。

　　网页篡改攻击：网页篡改是指攻击者对被攻陷网站的文件进行增加、删除、修改等操作，破坏网站的完整性和保密性，进而通过网站后门工具(webshell)提升权限并达到长期控制网站服务器的目的。网页被篡改、服务器被控制，将会严重影响网站所有者(特别是政府、银行、电子商务行业等)的信誉，使其经济利益受损，并且会严重影响到用户的使用安全。

　　网页恶意代码：攻击者向数据库中注入恶意代码或者直接修改网站的网页文件使之成为携带木马等恶意代码的“挂马”网页，当存在安全漏洞的用户访问这些页面时，恶意代码会劫持用户浏览器，侵入用户系统，对用户系统进行攻击破坏并窃取用户敏感信息。这种攻击方式具有很强的隐蔽性，用户仅仅浏览了网页即会受到攻击，潜在危害性比较大。

　　4、安全管理层次

　　“三分技术七分管理”，一直是安全领域的重要准则。只重技术而忽视管理，没有相应的管理制度，人员安全意识淡薄，都可能给网站安全带来极大的隐患。