经典案例：安全公司内部网站的万能密码漏洞与WEB安全策略探讨

"《案例经典的万能密码-2012中国计算机网络安全年会》是一篇深度探讨Web安全问题的文章，作者吴建亮来自广东动易网络，其在会议上分享了关于WEB常见漏洞的研究和案例分析。主要内容包括以下几个方面： 1. WEB常见漏洞及案例分析：文章首先提到SQL注入是最常见的漏洞类型，由于缺乏安全意识，许多网站存在未加防护的SQL注入漏洞，使得攻击者能够通过恶意构造的SQL语句获取敏感数据。例如，作者曾发现某安全公司内部网站的低级漏洞，用户只需输入特定的SQL注入序列即可绕过验证，直接访问后台。 2. SQL注入：作者强调了SQL注入产生的主要原因是SQL语句拼接错误，指出很多情况下，开发者未能采取参数化查询或有效过滤输入，导致漏洞。他还分享了如何利用firebug等工具进行绕过防火墙的技巧，比如通过textarea输入法绕过字符限制。 3. XSS/CSRF：跨站脚本（XSS）和跨站请求伪造（CSRF）是另一种重要的安全威胁。XSS常用于获取用户的敏感信息，甚至控制用户的行为。作者提供了一个实际案例，展示了一次利用XSS攻击拿下团购网的例子，强调了XSS在实际攻击中的关键作用。 4. 防御策略：作者批评了仅依赖通用防火墙的单一防御方法，提倡参数化查询和代码过滤作为更有效的防注入手段。同时，他还提到了其他防御技术，如编码绕过、MySQL宽字节编码、二次注入和容错处理的利用，以及最小权限原则。 5. 不足之处与反思：文章指出当前在防范SQL注入方面存在的普遍问题，即对这类漏洞的认识不足和应对措施不到位。作者呼吁安全厂商和开发者更加重视这些安全问题，提高安全意识和技术实施。 这篇论文深入剖析了Web安全中的核心问题，并结合实例展示了漏洞的成因、危害以及有效的防御策略，具有很高的实用价值和教育意义。"