网站设计者在设计网站时，一般将大多数精力都花在考虑满足用户应用，如何实现业务等方面，而很少考虑网站开发过程中所存在的安全漏洞，这些漏洞在不关注网站安全的用户眼里几乎不可见，在正常的网站访问过程中，这些漏洞也不会被察觉。但对于别有用心的攻击者而言，这些漏洞很可能会对网站带来致使的伤害。

网站漏洞指网站存在可以利用的一个缺陷或者一个弱点，它能破坏网站安全系统，威胁网站正常运营。据统计，有超过80%的网站存在网站安全漏洞，严重威胁网站生存！Web网站安全检测是一项为了防止网站被非法入侵（如篡改网页、盗取网页数据、网站挂马），对Web网站进行的授权漏洞检测和安全防御工作。通过对Web网站上的各种漏洞进行有效检测，将很大程度上确保网站的安全运行。

一般情况下，针对Web网站的攻击分为两种类型。
1、利用Web服务器、Web服务器软件的自身漏洞进行攻击，如CGI缓冲区溢出。
2、利用网页源代码自身的安全漏洞进行攻击，如SQL注入、XSS跨站脚本。1. SQL注入。检测Web网站是否存在SQL注入漏洞，如果存在该漏洞，攻击者通过SQL注入攻击可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。
2. XSS跨站脚本。检测Web网站是否存在XSS跨站脚本漏洞，如果存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等攻击。
3. 网页挂马。检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。
4. 缓冲区溢出。检测Web网站服务器和服务器软件，是否存在缓冲区溢出漏洞。
5. 上传漏洞。检测Web网站的上传功能是否存在上传漏洞，如果存在此漏洞，攻击者可直接利用该漏洞上传木马获得webshell。
6. 源代码泄露。检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。
7. 隐藏目录泄露。检测Web网站的某些隐藏目录是否存在泄露漏洞，如果存在此漏洞，攻击者可了解网站的全部结构。
8. 数据库泄露。检测Web网站是否在数据库泄露的漏洞，如果存在此漏洞，攻击者通过暴库等方式，可以非法下载网站数据库。
9. 管理地址泄露。检测Web网站是否存在管理地址泄露功能，如果存在此漏洞，攻击者可轻易获得网站的后台管理地址。
10. 弱口令。检测Web网站的后台管理用户，以及前台用户，是否存在使用弱口令的情况。