Web安全性的研究.pdfVIP

ISSN1009-3044 E-mail:info@ 第10卷第20期 (2014年7月) ComputerKnowledgeandTechnology电脑知识与技术 ComputerKnowledgeandTechnology 电脑知识与技术 第10卷第20期 (2014年7月) Tel:+86-55165690964 Web安全性的研究 陆 涛 （辽宁轨道交通职业学院管理工程系，辽宁沈阳110036) 摘要：该文对Web应用程序所面临的SQL注入攻击、跨网站脚本、伪造客户端请求、传输层保护不足等安全风险进行了研 究与分析。针对Web安全性的解决方法，该文深入研究了身份认证、数据库安全通信、加固会话、数据验证等措施。 关键词：Web安全；安全风险；解决方法 中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2014)20-4689-02 ResearchontheSafetyofWeb LUTao (LiaoningRailTransportationManagementEngineeringDepartmentofCareerAcademy,Shenyang 110036,China) Abstract: Inthispaper,whichfacestotheWebapplicationofSQLinjectionattacks,crosssitescripting,forgedaclientrequest, thetransportlayersuchasinadequateprotectionofsecurityriskanalysisandresearch.SolutiontothesecurityofWeb,thispaper studiestheidentityauthentication,databasesecuritycommunication,strengtheningsession,datavalidationmeasures. Keywords:Websecurity;securityrisk;Solutions 随着网络技术的飞速发展，Web应用已经非常广泛。其安全问题也给Web应用程序带来了极大的挑战。当前网络攻击行为 主要是围绕Web服务器的各种安全漏洞而进行的。在程序设计及使用过程中，必须把Web安全性问题放在重要的位置，否则会给 用户带来巨大的损失。 1安全风险 根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、传输层保护不足。 1.1SQL注入攻击 随着B/S框架结构在系统开发中的广泛应用，恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服 务器执行SQL命令。当注入攻击得逞后，Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访 问权限，进行破坏操作。 1.2跨网站脚本 跨网站脚本（简称XSS）是当前恶意破坏者主要选择的攻击手段之一。XSS通过网页开发时留下的安全漏洞，注入恶意的指令 代码，影响其他用户对网站的访问，同时获得用户的合法信息。受XSS攻击的网站通常是由JavaScript、ActiveX和普通的HTML设 计的。 1.3伪造客户端请求 伪造客户端请求（简称为CSRF）是通过用户浏览器向存在安全漏洞的Web服务器发送带有Cookie信息的请求，来替换文件地 址达到自动链接的目的。 1.4传输层保护不足 当数据在传输层进行网络传输时，由于采用了简单或传统的加密算法，数据保密性和完整性很容易被破坏。攻击者利用密 码、密钥、会话令牌等进行非法操作。 2解决方法 2.1身份认证 身份认证就是对应用程序客户端进行唯一标识。当用户访问Web系统时必须进行身份认证，身份认证通过后才允许进入数 据库进行访问。增强身份认证通常采用管道加固验证、文件授权和数据库身份验证方法。 管道加固验证应用于动态页面。当服务器接到请求报文后，HttpRuntime把HTTP请求转交给HttpApplicationFactory。管道加 固技术在HttpApplic