web应用安全攻防策略

Xx学院（软件学院）毕业论文题目Web应用安全攻防策略姓名专业班级指导教师完成时间200x年x月xx学院（软件学院）制200x.x摘要：随着全世界网民的增加，极大的刺激了互联网络的发展。Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时，数以万计的商业公司、政府机构在多年的犹豫、观望之后，意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些，都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。为了让用户的合法权益不受侵害，网络安全技术研究应运而声。关键词：网络安全web安全web应用目录一.引言....................................2二.网络安全概述............................22.1网络安全研究背景.......................................................................................22.2什么是安全..................................................................................................4三.WEB应用攻击过程........................53.1什么是WEB应用攻击...................................................................................53.2WEB应用攻击特点.........................................................................................63.3web网络攻击过程.........................................................................................6四.web应用安全攻击方法....................74.1sql注入........................................................................................................74.2．xss...........................................................................................................104.4.DOS（拒绝服务）....................................................................................124.5.社会工程学...............................................................................................13五.网络安全防范策略.......................145.1防范sql注入式攻击.................................................................................145.2验证码技术...............................................................................................145.3防火墙技术................................................................................................155.4加强网络管理人员以及使用人员的安全意识.........................................18六.总结.............................................................................................................18参考文献..................................19一.引言计算机网络是一个开放和自由的网络，它在大大增强了网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来，网络系统的安全性和可靠性开始成为世界各国共同关注的焦点.在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。二.网络安全概述2.1网络安全研究背景20世纪40年代，随着计算机的出现，计算机安全问题也随之产生。随着计算机在社会各个领域的广泛应用和迅速普及，使人类社会步入信息时代，以计算机为核心的安全、保密问题越来越突出。70年代以来，在应用和普及的基础上，以计算机网络为主体的信息处理系统迅速发展，计算机应用也逐渐向网络发展。网络化的信息系统是集通信、计算机和信息处理于一体的，是现代社会不可缺少的基础。计算机应用发展到网络阶段后，信息安全技术得到迅速发展，原有的计算机安全问题增加了许多新的内容。同以前的计算机安全保密相比，计算机网络安全技术的问题要多得多，也复杂的多，涉及到物理环境、硬件、软件、数据、传输、体系结构等各个方面。除了传统的安全保密理论、技术及单机的安全问题以外，计算机网络安全技术包括了计算机安全、通信安全、访问控制的安全，以及安全管理和法律制裁等诸多内容，并逐渐形成独立的学科体系。换一个角度讲，当今社会是一个信息化社会，计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网络的依赖也日益增强，尤其是计算机技术和通信技术相结合所形成的信息基础设施已经成为反映信息社会特征最重要的基础设施。人们建立了各种各样完备的信息系统，使得人类社会的一些机密和财富高度集于计算机中。但是这些信息系统都是依靠计算机网络接受和处理信息，实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。随着网络的开放性、共享性及互联程度的扩大，特别是Internet网的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起，比如电子商务（ElectronicCommerce）、电子现金（ElectronicＣash）、数字货币（DigitalCash）、网络银行（NetworkBank）等的兴起，以及各种专用网（比如金融网等）的建设，使得安全问题显得越来越重要，因此对网络安全的研究成了现在计算机和通信界的一个热点。2.2什么是网络安全简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要，包括信息和物理设备（例如计算机本身）。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。当涉及到公司安全的时候什么是适宜的，在公司与公司之间是不同的，但是任何一个具有网络的公司都必需具有一个解决适宜性、从属性和物理安全问题的安全政策。伴随着现代的、先进的复杂技术例如局域网和广域网、Internet，安全的想法和实际操作已变得更加复杂，对于网络来说，一个人可以定义安全为一个持续的过程。计算机网络安全之所以重要，其主要原因在于：1）计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。2）随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂、系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。3）人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转、不可替代的。4）随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。5）计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。6）从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题。因此广泛存在着重应用轻安全、质量法律意识淡薄、计算机素质不高的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的。学习计算机网络安全技术的目的不是要把计算机系统武装到百分百安全，而是使之达到相当高的水平，使入侵者的非法行为变得极为困难、危险、耗资巨大，获得的价值远不及付出的代价高。在网络环境里安全是一种能够识别和消除不安全因素的能力。安全的目的是使入侵者获得的价值远不及付出的代价高。三.WEB应用攻击过程3.1什么是WEB应用攻击WEB应用攻击，本质就是指通过http协议篡改应用程序。进而控制目标服务器，甚至控制整个目标网络。其中有包括有guiweb攻击，url攻击，请求方法、请求头、数据体，资源，认证、会话、授权，web客户端和html，ssl/tls，其他协议等等。3.2WEB应用攻击特点目前的网络攻击者主要是利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行网络攻击。目标系统攻击或者被入侵的程度依赖于网络攻击者的攻击思路和采用攻击手段的不同而不同。可以从攻击者的行为上将攻击区分为以下两类：被动攻击：攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络或者基于系统的。这种攻击是最难被检测到的，对付这类攻击的重点是预防，主要手段是数据加密。主动攻击：攻击者试图突破网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流，主要攻击形式有假冒、重放、