近日，全球知名的高性能Web 2.0安全解决方案领导厂商与高端Web安全设备提供商----Wedge Networks(稳捷网络)宣布，基于公司BeSecure Web安全网关构建企业网站保护方案，成功实现对全球十三类网站攻击行为完整防御，确保用户网站的整体信息安全。据悉，新方案弥补了传统网站保护方案仅打补丁或单一网络封堵的思路，而是多管齐下，从网络防御、网址过滤、信息内容监管、漏洞管理、内外邮件扫描等多个环节对网站Web服务器进行安全保护。

　　攻击一：代码执行攻击

　　描述

　　当输出或者触发服务器端代码时，漏洞植入到代码中。在有些不严密的Web应用程序中，用户可以通过修改应用程序发布到留言板或留言簿，有时可能是注入的应用程序本身的脚本语言代码的服务器端文件。

　　危害

　　用户可能会执行与Web服务器权限外的任意系统命令。

　　攻击二：Cookie操作攻击

　　描述

　　Cookie信息很容易被攻击者解密。由于Cookie是利用了网页代码中的HTTP或者META的头信息进行传递的，因此可以改变存储在客户浏览器中的设置。攻击者修改Cookie信息，以欺诈的手段进行输入验证。

　　危害

　　通过利用此漏洞，攻击者可以进行固定会话攻击。在一个固定会话攻击中，攻击者使用他人的信息进行会话，然后以用户身份登录到目标服务器，最后再消除登陆会话的ID。

　　攻击三：CRLF注入/ HTTP响应拆分攻击

　　描述

　　该脚本很容易被将CRLF命令注入到系统中。HTTP头的定义就是基于“Key: Value”的结构，用CRLF命令表示一行的结尾。这就意味着攻击者可以通过CRLF注入自定义HTTP 头，导致其可以不经过应用层直接与服务器对话。HTTP响应拆分漏洞是一种新型的Web攻击方案，它重新产生了很多安全漏洞包括：Web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。攻击者可以发送一个或几个HTTP指令迫使漏洞服务器产生一个攻击者构想好的输出。它可以让服务器误把几条HTTP请求看成一次完整的HTTP请求来解释。

　　危害

　　一个远程攻击者可以注入自定义的HTTP头。例如，攻击者可以注入会话Cookie或HTML代码。这种行为可能导致跨站脚本攻击固定会话攻击。