Web攻击及安全防护技术研究.doc

Web攻击及安全防护技术研究.docWeb攻击及安全防护技术研究摘要:对于不同的网站应用程序,构建有效的网站应用安全防护机制非常重要。在详细分析Web攻击行为的基础上,对Web安全防护技术进行了深入探讨,提出了预防为主,软硬件结合的多重Web安全防护技术。关键词:Web攻击;安全防护;防火墙;验证技术中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)31-pppp-0c TheResearchofWebAttackandSecurityTechnology LIBi-yun1,SHIJun-ping2 (,JishouUniversity,Jishou416000,China;&InformationEngineering,JishouUniversity,Jishou416000,China) Abstract:Todifferentwebsitesapplications,,WebsecurityprotectiontechnologyisIn--biningmultiplehardwareandsoftwareisproposed. Keywords:Webattack;security;firewall;verificationtechnology 随着企业和政府越来越多的业务系统采用基于WEB服务方式,互联网在为用户提供方便快捷的同时,针对WEB业务的攻击亦在迅猛增长。一方面,基于新技术的突破和应用,WEB技术提供的快捷性、交互性和通用性被越来越多的业务系统所采用;而另一方面,病毒、木马蠕虫、钓鱼软件等却又通过WEB服务的方式大肆在互联网上传播,严重威胁到了WEB服务的业务系统。 1WEB攻击常见的WEB攻击可分为三类:一是利用WEB服务器的漏洞进行攻击,如CGI、缓冲区溢出、目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入、跨站脚本攻击、Cookie假冒、认证逃避、非法输入、强制访问、隐藏变量篡改等;三是利用僵尸网络的分布式DOS攻击,造成网站拒绝服务。 HTML表单是应用层的安全隐患。主要原因是WEB应用的设计者总是信任用户输入是在HTML表单的格式限定内的良好的、无恶意的数据[1]。 HTTP协议的无状态使得设计者需要管理多次HTTP请求间的应用状态。通过使用HTTP表单的隐藏域可以把一系列的请求/响应串起来,比通过使用后端的数据库的方法要容易。可是这样使用隐藏域就使得客户端可以修改应用的状态,例如:上不需要特殊技巧实现对有些WEB站点的攻击,攻击者可以把HTML表单存到本地磁盘,然后用文本编辑器改变隐藏在表单中隐藏域的商品价格或是商品的打折比例,再把修改了的HTML表单装入浏览器发送回WEB服务器就可以买到便宜的商品。有不少的商业站点可以用这种简单的方法进行攻击,修改表单的攻击通常和其他的攻击方法混合使用。