这篇短文，也是从论坛上用户们经常讨论的sql注入、xss、挂马等案例引发而来。

无论是sql注入、xss，还是哪一种的web应用攻击，大多是借助网站自身的漏洞来实现，比如对特殊字符串的处理，函数的非法调用等。存在sql注入的网站太多了，据某官方统计，中国60%以上的网站都存在不同程度的sql注入

对于不一定很专业的普通用户来说，他们希望用最浅显易做的方式来弥补漏洞。

我这篇文章，不会介绍太多，因为网上已经有大量的文章讲sql注入的原理，甚至手把手教人怎么注入了

一.常见的论坛漏洞归纳
堵住漏洞还是主要的
DVBBS论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=DVBBS&act=sec_bug
phpbb论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=phpbb&act=sec_bug
VBB论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=vBulletin&act=sec_bug
IPB论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=Invision+Power+Board&act=sec_bug
phpnuke论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=phpnuke&act=sec_bug
LB5000论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=LB5000&act=sec_bug
Nsfocus漏洞库里缺少PHPWind，Discuz, DVBBS这些国内常见论坛的漏洞纪录。漏洞信息可以在securityfocus查到。
Discuz：
http://www.securityfocus.com/bid/14564/info
http://www.securityfocus.com/bid/14564/info
http://www.securityfocus.com/bid/14564/info
DVBBS：
http://www.securityfocus.com/bid/14223/info
PHPWind
http://www.securityfocus.com/bid/12207/info
VBB：
http://www.securityfocus.com/bid/15075
http://www.securityfocus.com/bid/15073
http://www.securityfocus.com/bid/15068
http://www.securityfocus.com/archive/1/413024
还有一些不大出名的国内论坛程序，漏洞比较老了。也查不到哪个漏洞库有记录。
6K论坛v3.0漏洞
BBS2000，BBS3000的多个变量未过滤漏洞
BBSXP多个漏洞
DVBBS低版本多个漏洞
乔客论坛漏洞
54NB article 1.6文章系统漏洞
Myarticle文章系统漏洞
青创文章系统漏洞
夜猫文章系统漏洞
.....


二.如何为自己的网站扫描漏洞
1.手工检测。这种方法局限性很大
2.使用工具
我经常用的是IBM的appscan，和webinjection
他们两个扫描的能力非常强
但是这两个工具都很大，而且需要破解。另外，他们俩都有误报，但是可以自己验证，比如appscan有一个show in browser，点一下，如果出现页面无法显示，那就是误报了。

三.对于网页挂马
据我所知，有十种常见的挂马方式
最简单的还是iframe方式和javascript加密式
有的用户提到自己的网站删掉挂马连接又立刻生成，我想到两种手段，一是后门，二是sql注入


有问题，咱们再探讨

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)

很赞，谢谢收集。这帖先收集了：）

该用户帖子内容已被屏蔽