随着高校信息化建设的逐步深入，各高校教务工作对信息系统依赖的程度越来越高。作为高校窗口的高校网站，所面向的用户群也越来越广泛，所承载的功能也越来越全面，不单是面向校内，同时面向社会也提供了诸多服务功能。高校网站已从一个简单的信息发布、展示平台，逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源，成为高校成熟的业务展示和应用平台。

　　但不得不承认，在大力进行高校网站业务建设的同时，各高校在系统安全保障的建设上出现了严重缺失，网站挂马、网页篡改、DDoS攻击等攻击事件呈逐年上升的趋势，以即将开始的高招为例，2010年高考前夕，5月14日一天之内，全国128所高校被集体挂马，其中不乏重点大学，这一数字已经超过2009年全年挂马数，近几年修改考试成绩、骗取认证证书等事件屡有发生，高校网站已经逐渐成为黑客关注的重点目标，高校网站的安全保障工作已经迫在眉睫。

　　高校网站面临的典型安全威胁

　　用卡尔·萨根“魔鬼出没的世界”，这句话来形容高校网站目前所处的恶劣安全环境是再合适不过了。针对高校网站所承载的各类应用的特点，目前比较典型的攻击总结如下：

　　 跨站脚本

　　跨站脚本漏洞的特点在于对存在漏洞的网站本身并不构成威胁，但会使网站成为攻击者攻击第三方的媒介。

　　跨站脚本的危害：攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。

　　 信息泄漏

　　信息泄漏是攻击者通过应用系统部署时没有将注释去掉、应用系统部署时没有正确地配置服务器程序等方式获得应用系统某些敏感信息的攻击技巧，通常是利用程序员遗留在代码中的注释或者服务器程序的错误信息。

　　信息泄露的危害：远程攻击者可以利用漏洞获得敏感信息，有利于攻击者进一步的攻击。

　　 SQL 注入

　　SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见，同时也是危害最大的一类弱点。导致SQL注入的基本原因是由于应用程序对用户的输入没有进行安全性检查，从而使得用户可以自行输入SQL查询语句，对数据库中的信息进行浏览、查询、更新。基于SQL注入的攻击方法多种多样，而且有很多变形，这也是传统工具难以发现和定位的。

　　SQL注入的危害：利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马，导致机密数据泄漏如电子商务网站的客户信息;服务器被控制;后台数据库执行非授权的查询、修改、删除;泄露认证相关的敏感信息，导致攻击者控制Web应用;网站数据的恶意破坏。

　　 越权攻击

　　越权攻击是由于应用系统对权限没有严格识别，导致用户文件权限过滤不严格，而导致的攻击。

　　 DDoS攻击

　　DDoS(Distributed Denial of Service)攻击则是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高，从而最终导致系统崩溃，无法提供正常的服务。

　　随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。