如前所述，Web门户在后端使用数据库服务器，Web页面连接到数据库，查询数据，并将所获取的数据以Web格式呈现给浏览器。如果客户端上的输入在以查询形式发送到数据库之前没有经过适当的过滤，就可能发生SQL注入攻击。这可能导致操作SQL语句的可能性，以便在数据库上执行无效的操作。

　　这种攻击的一个常见示例是由Web应用程序访问的SQL server，其中SQL语句没有经过中间件或验证代码组件的过滤。这可能导致攻击者能够在后端数据库服务器上创建和执行自己的SQL语句，这可能是简单的SELECT语句来获取和窃取数据，或者可能像删除整个数据表一样严重。在其他情况下，数据可以通过使用恶意的和虚假的内容填充记录集来破坏。

　　尽管网络安全意识越来越高，但许多网站仍然可以进行SQL注入攻击。

　　虽然在本文中不可能涵盖所有可能的攻击，但让我们来看看一些不太为人所熟知的攻击，这些攻击越来越多地被用于攻击网站。

　　缓慢的HTTP攻击

　　虽然这一方法与拒绝服务攻击类似，但该技术略有不同。它利用了一个事实，即每个HTTP请求都必须由Web服务器侦听。每个Web请求都以一个名为content-length的字段开头，它告诉服务器需要多少字节，并以回车和换行(CRLF)字符组合结束。

　　HTTP请求由内容长度较大的攻击者发起，而不是发送CRLF来结束请求，因此通过向Web服务器发送非常少量的数据来简单地延迟。 这使得Web服务器等待尚未到来的更多数据来完成请求。 这消耗了Web服务器的资源。

　　如果请求延迟到一个小于服务器上会话超时设置的点，那么多个这样的慢请求可以完全消耗资源并创建拒绝服务攻击。这可以通过只从一个浏览器创建缓慢和延迟的请求来实现，这从安全的角度来看是很危险的。

　　加密开发

　　导致了一种幻觉，认为一切都是安全的，不幸的是，情况并非如此。许多购物车应用程序忘记进一步加密cookie内容，并将它们放在纯文本中。尽管SSL上的数据受到SSL的保护，但运行客户端脚本拦截cookie并读取其内容可能会导致数据或会话被盗。

　　对于SSL，现代攻击者使用工具来检测和破坏较弱的密码算法，从而使SSL保护失效，尽管这不是很常见。

　　保护开源软件系统

　　Apache运行在centods/red Hat、Ubuntu和Debian上，在严重的FOSS Web基础架构和解决方案中获得了广泛的欢迎。第一步是加强Apache Web服务本身;在Internet上有许多关于这方面的指南和例子--对于每个Linux发行版，以及示例。

　　强烈建议禁用除Web服务端口之外的其他端口，以及停止和禁用不必要的服务。部署一个配置良好的防火墙或入侵检测设备是至关重要的。正如前面提到的，一个简单的防火墙是不够的;因此，需要一个能够检测Web层攻击的内容过滤防火墙。

　　保护Web门户不仅限于Web服务器，还可以扩展到诸如数据库服务器，Web服务等组件。从网络安全的角度来看，只允许从前端Web服务器到数据库的IP连接是一个很好的 理念。 运行rootkit检测器，防病毒工具和日志分析器必须是常规工作，以防止黑客攻击。

　　对于中间件和Web服务器之间的高级安全性，还应该有一个更强大的身份验证机制。应该对cookie进行加密和SSL部署，并使用更强的密码算法。

　　从编码的角度来看，如前所述，使用安全编程技术是至关重要的，也是遵循最佳的安全措施，如代码审查和渗透测试。 还建议使用其他进程，如输入代码验证，服务器和数据库端验证。

　　Web开发是攻击网站的常见方式。 由于其易用的可用性和可编程性，FOSS基础架构也容易遭受这种攻击，因此网络管理员必须了解技术来保护其基础架构免遭信息丢失或被盗。