近幾日有個客戶找到我們廣深互聯的客服說自己的網站老是被入侵被黑，例如：加一大片的私服和醫療、博彩等網站的鏈接，就說是我們的香港虛擬主機的問題。其實，任何一個程序的開發時都有漏洞，等這個漏洞被更多的人發現時，那么就會出現一大片的網站被入侵和被黑。目前從大形勢來看，網站被黑一般都是網絡上很多黑客隨機掃描導致的。

網站經常被黑的的根本原因主要有以下幾點：

1、跨站腳本(XSS)

XSS漏洞是普遍和致命的網絡應用軟件安全漏洞，當一款應用軟件將用戶數據發送到不帶認證或者不對內容進行編碼的網絡瀏覽器時容易發生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數據，破壞網站，插入有害內容，以及展開釣魚式攻擊和惡意攻擊。

2、注入漏洞

當用戶提供的數據被作為指令的一部分發送到轉換器(將文本指令轉換成可執行的機器指令)的時候，黑客會欺騙轉換器。攻擊者可以利用注入漏洞創建、讀取、更新或者刪除應用軟件上的任意數據。在壞的情況下，攻擊者可以利用這些漏洞完全控制應用軟件和底層系統，甚至繞過系統底層的防火墻。

3、惡意文件執行

黑客們可以遠程執行代碼、遠程安裝rootkits工具或者完全攻破一個系統。任何一款接受來自用戶的文件名或者文件的網絡應用軟件都是存在漏洞的。漏洞可能是用PHP語言寫的，PHP是網絡開發過程中應用普遍的一種腳本語言。

4、跨站指令偽造

這種攻擊簡單但破壞性強，它可以控制受害人的瀏覽器然后發送惡意指令到網絡應用軟件上。這種網站是很容易被攻擊的，部分原因是因為它們是根據會話cookie或者“自動記憶”功能來授權指令的。各銀行就是潛在的被攻擊目標。

5、信息泄露和錯誤處理不當

各種應用軟件產生并顯示給用戶看的錯誤信息對于黑客們來說也是有用的，那些信息可能將用戶的隱私信息、軟件的配置或者其他內部資料泄露出去。

6、不安全的認證和會話管理

如果應用軟件不能自始至終地保護認證證書和會話標識，用戶的管理員賬戶就會被攻破。應注意隱私侵犯和認證系統的基礎原理并進行有效監控。

7、不安全的加密存儲設備

雖然加密本身也是大部分網絡應用軟件中的一個重要組成部分，但是許多網絡開發員沒有對存儲中的敏感數據進行加密。即便是現有的加密技術，其設計也是粗制濫造的。

8、不安全的通信

與第8種漏洞類似，這種漏洞出現的原因是因為在需要對包含敏感信息的通信進行保護時沒有將網絡流通的數據進行加密。攻擊者們可以獲得包括證書和敏感信息的傳送在內的各種不受保護的會話內容。因此，PCI標準要求對網絡上傳輸的信用卡信息進行加密。