Web安全防护至关重要

　　由于纳斯达克是一个电子交易系统，经营着全球最大的资本市场，系统的安全性和可靠性成为至关重要的因素。 由于纳斯达克的交易使用电子在线系统，又因为。

　　纳斯达克拥有其官方网站，为用户提供了一个信息共享的平台。由于纳斯达克在金融行业的地位和影响力，并且该网站包含大量的金融信息，致使其成为世界各地黑客的攻击目标。

　　通过对纳斯达克的官方网站的加固和防护，可以确保其免受各类Web攻击，这些Web攻击主要包括：

　　1.缓存溢出 — 薄弱的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码。

　　2.跨站点脚本攻击— 攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击

　　3.服务拒绝攻击 — 这种攻击会导致服务没有能力为正常业务提供服务

　　4.异常错误处理—错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

　　5.非法session ID — 当session ID没有被正常使用时，攻击者可以破坏Web会话，并且实施多个攻击(通过冒用其他的可信任的凭证)，借此来绕开认证机制。

　　6.命令注入 — 如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容(SQL语句)，应该保持简单，并且不应该还有可被执行的代码内容。

　　7.弱认证机制 — 利用弱认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。

　　8.未受保护的参数传递 — 利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器，浏览器在将HTML传回给服务器之前，是不会修改这些参数的。

　　9.不安全的存储 - 对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。

　　10.非法输入 --在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。