随着网络规模的进一步扩大，越来越多的Web应用渗透了现代人的工作与生活。人们在享受Web带来便利的同时，也面临着急剧增加的Web安全风险。我们无法摆脱对Web的依赖，那么了解其危害并有效规避无疑是明智的选择。

　　Web应用程序暗藏漏洞

　　Web时代的到来，为脚本语言提供了广阔的舞台。由于脚本语言降低了编程的门槛，增强了开发的灵活性，并能快速高效地搭建平台环境，实现各类应用，因而Web开发者对此青睐有加。

　　但由于人们使用脚本语言的随意性，为攻击者提供了很多可利用的漏洞。另外，使用perl、python、shell等语言编写的简短代码，可以解决许多在入侵中和入侵后需要面对的情报搜集、数据回传、痕迹清除等繁琐工作。因此，脚本语言常常成为攻击者用于攻击的“黏合剂”。

　　可见，脚本语言在Web的攻防两端都扮演着极其重要的角色，要想深入了解Web的安全技术，必须掌握常用的脚本语言。

　　目前常用的脚本语言有perl、ruby、php、javascript、vbscript、wscript、bat、shell、python等等。它们各有特点，用处广泛。其中，perl对正则表达式的支持强大，处理文本的能力极强，又有丰富的模块可利用，能大大加快开发的进度；ruby和php适合做CGI，最新的Metasploit framework模块就是用ruby编写的，而3.0之前的版本则是由perl开发的；javascript在客户端的浏览器中运行，可用于编写溢出代码；vbscript、wscript、bat、shell则可以分别应用于windows和*nix的系统远程管理方面。

　　安全风险来自三方面

　　Web安全可以分为三个层次：环境安全、Web应用安全、客户端安全。环境安全的主体是系统管理员，Web应用安全的主体是开发程序员，客户端安全的主体是浏览用户。一次成功的攻击，可能是这三个方面的任意一个环节的安全隐患造成的，或者是对多个环节的安全漏洞的综合利用。所以，要保证Web安全，必须严格审查这三方面的安全漏洞，任何一个环节的缺失，都会给攻击者带来可乘之机。

　　环境安全指的是Web服务提供者自身的基础安全保障，它又可以分为网络安全、主机安全和数据库安全。具体来说，管理员首先要保证服务器和主机的安全，设置强保护的密码，关闭不需要的服务，密切关注包括操作系统、已安装的应用软件的升级信息和安全公告，及时下载安装安全补丁。

　　数据库安全也会影响到整个系统的安全。由于数据库带有与操作系统交互的存储过程，可以直接运行系统命令，所以，一旦取得了数据库的权限，就意味着能够取得主机系统权限。

　　环境安全可以通过管理员自身的安全意识的提高来确保，但Web应用安全就不是单靠管理员小心谨慎就可以保证的了。事实上，大量的Web应用软件往往由于开发程序员的疏忽，给系统带来较高的风险。最常见的是利用Web应用发起的攻击包括SQL注入、跨站攻击(XSS)等。

　　环境安全和Web应用安全的主体是管理员和程序开发人员，其攻击也主要针对服务器端展开，而浏览用户一端也并不安全。

　　最常见的客户端软件漏洞就是浏览器漏洞，作为浏览网页的基本工具，浏览器使用频率是各类软件里最高的。一旦其安全屏障被攻破，就会爆出漏洞，那么攻击者将能轻易地通过网页向浏览用户的主机植入木马、引发系统崩溃。

　　除了浏览器本身的漏洞之外，浏览器插件同样可能成为攻击的对象。各种Flash插件、上网过滤插件如果存在漏洞，将直接导致使用者在上网浏览信息时暴露在攻击者面前。所以，浏览用户要保护自己的上网安全，除了要选择相对安全的浏览器、及时升级补丁之外，还要慎重选择安装各种插件，及时升级插件版本，尽量不访问可能存在安全问题的网站，在访问时尽量关闭浏览器的javascript功能。