如今网络安全是一直在客户最头疼的问题，个人数据泄密的事件屡见不鲜。是什么造成了这一切？

　　安全咨询专家Joel Snyder说，“很多网站站长忽略了这样一个问题，在网站开发小组里，你寻找的首要目标是那些很有创意并且能够构建有创意的网站的人才，可能最后考虑的问题才是安全问题。”

　　我们不难看出，如今在网络应用程序没有一种机制区分或验证系统来保证不同部分的数据移动。网站开发的技术人员都还没有对安全问题引起足够的重视。

　　Forrester公司的高级安全分析家也认为，人们总是在网站出事之后才想到亡羊补牢，而不是事先就做好准备。

　　Kark说：“我敢说大多数的网站都有可能被黑，根本原因就是人们在设计程序的时候完全没有考虑安全问题。”

　　早在2004年就有安全组织提出了的安全需要从网站设计处开始规划，然而网络安全并没有得到提高；反而随着网络的高速普及，网络安全越来越的威胁着用户的安全。诸如AJAX 和 Rich Internet Applications这样的新技术，虽然使得网站看起来更加漂亮，但却增加了安全风险。

　　以下是如今最常被黑客利用发起攻击的10大网络安全威胁，包括每个问题的详细描述，实例以及怎么样修补漏洞。

　　1.跨站脚本攻击(XXS)

　　问题：这是影响最广危险最大的网页安全程序漏洞，XSS漏洞发生在程序直接把用户的数据发送到网络浏览器的时候而没有确认和编译这些内容。这就使得在浏览器中执行恶意的脚本，让黑客劫持用户数据，甚至黑掉网站，在网站中插入恶意内容，还有发动网络钓鱼和恶意软件攻击。

　　这些攻击通常是以Java脚本的形式出现的，可以让黑客控制所有的网页。最坏的情况就是黑客可能会盗取客户资料或是假装成银行客户。

　　实例：PayPal(一种网上支付方式，可以付钱给任何有e-mail的人，主要用于个人之间的网上交易)去年就遭到攻击，黑客欺骗PayPal的用户访问另外一个页面警告客户说他们的帐户受到威胁。实际上受害者访问的是一个网络钓鱼站点然后获取了PayPal客户的注册信息，社会保险号，信用卡的详细信息。PayPal称2006年的时候已经关闭了这一漏洞。

　　如何保护客户：利用黑白名单来确认所有的输入数据，拒绝任何不再清单上的数据。

　　除此之外，需要使用适当的输出数据编码，确认程序允许检测攻击，编码可以有效阻止注入脚本在浏览器中的运行。

　　2.注入漏洞

　　问题：当用户数据作为一种指令或口令发送到注释器的时候，黑客欺骗了注释器（用来转换文本命令的）来执行命令。注入漏洞允许攻击者在网页应用程序中编写，读取，上传和删除任何数据。最坏的情况是，这些漏洞会使攻击者完全威胁到网页应用程序和根本系统，甚至能够躲开嵌套防火墙的监视。

　　实例：2006年一月的时候，黑客侵入了罗德岛州府的网站并且盗取了大量的信用卡数据。黑客们宣称他们利用SQL注入攻击，成功的获取了53，000个信用卡帐号，但是官方的数据声称只有4113个。

　　如何保护客户：尽量少使用注释器。如果必须使用注释器的话，避免注入的关键在于使用安全的API，譬如使用高度参数化的询问以及使用目标关联图。

　　3.恶意文件的执行

　　问题：黑客可以执行远程代码攻击，远程安装rookits，或是完全威胁整个系统。只要它接受用户文件名或是文件，任何形式的网页应用程序都存在漏洞。最普遍的漏洞可能就是与PHP编程语言相关的，很多网页的开发使用这一脚本语言。

　　实例：2004年，一个10几岁的程序员发现Guess.com网站存在的漏洞可能会使黑客从Guess的数据库里获取超过200，000万的客户数据，包括姓名，信用卡号还有其失效期。在联邦商务委员会(Federal Trade Commission)调查这一事件之后，Guess公司同意在来