Web网站脚本安全之攻防.docVIP

学术论文 姓名：XXX 学号：XXXXX 专业:XXXXXXXX 年级：XXX 邮编：XXXXX 浅析Web网站脚本安全之攻防 作者：麦伟 学号：064632076 队别：46队 专业：计算机科学与技术 班级：C班 【摘要】：当前，来自Web的各种攻击已经成为全球安全领域最大的挑战，并且有愈演愈烈之势。目前的难点在于，很多Web威胁的思路已经有别于传统，隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲，Web威胁令人无法忽视，而相关防御技术的应用与保护也同样充满挑战。 【关键词】：Web服务 SQL 跨站脚本（XSS） 目录 第1章 网站脚本入侵与防范概述 　1.1 危害严重，难于防范的Web脚本入侵攻击 1.1.1 Web脚本攻击概述及特点 　　1.1.2 入侵者是怎样进入的 1.2 脚本漏洞的根源　　1.2.1 功能与安全难以兼顾 　　1.2.2 安全意识的缺乏 2.1 SQL注入的目标是数据库 　　2.1.1 数据库就是网站的一切内容 　　2.1.2 明白几个SQL中要用到的名词 　　 2.1.3 SQL注入攻击中常碰到的几种DBMS 　　2.1.4 提前了解几条SQL注入查询指令2.2跨站脚本（XSS）攻击 　　2.2.1　　2.2.2　　 2.2.3来自内部的跨站攻击　　2.2.4 Web安全与人员意识 第一章 1，Web服务的隐忧 所谓Web服务，是指由企业发布的完成其特别商务需求的在线应用服务，其他公司或 应用软件能够通过Internet来访问并使用这项应用服务。Web服务采用基本的Internet协议，“松散地连接”网络上的服务节点，并将“服务过程”定义在Web应用程序中，利用标准的存取协议（XML）为客户端节点提供服务。 Web服务主要解决基于分布在网络上不同服务器或终端之间的业务集成，面对海量的外部信息资源和应用资源提供一种中间的服务，使得所有用户可以得到方便的信息共享和应用共享。Web服务平台已经在电子商务、企业信息化中得到广泛的应用，很多企业都将应用架设在Web平台上，并不断完善和提高其功能和性能，为客户提供更为方便、快捷的服务支持。 根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，2/3的 Web 站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，忽略了保证 Web服务本身的安全，才给了黑客可乘之机。 而趋势科技2008年一季度病毒报告显示，今年一季度Web威胁感染数量增长了1.5倍，可以预见，今年又将是Web威胁大肆爆发的一年。 Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径，Web安全威胁已经成为对企业来说最为猛烈的攻击之一。 不难看出，所有从Web服务引起和针对于Web服务的各种恶意活动构成了Web安全威胁。据深信服高级产品经理邱德文介绍，Web威胁的主要形式包括两种：一种是从Web服务器发起，针对于广大互联网用户的Web威胁；另外一种的攻击对象就是Web服务，由在互联网上活动的黑客发起，针对于企业、政府的网站攻击和破坏行为。 浪潮信息安全技术总监孙大军表示，针对于广大互联网用户而言，Web威胁的危害是很大的，破坏性也是比较强的，各种各样的木马、网络钓鱼、僵尸网络对用户正常使用互联网的造成了非常大的影响。目前国内的大型企业、政府部门已经意识到了Web安全的重要性，从领导到员工也普遍比较重视。然而，广大中小企业和个别网站还没有意识到Web安全的重要性。 Web威胁随着互联网应用的发展而不断地发展。特别是在网上办公、网上银行等多种互联网应用的开展以后，恶意攻击者们看到了有利可图，导致各种Web攻击方式层出不穷，形式也不断翻新。 对于不同规模的企业而言，威胁程度显然是不同的，因为不同规模的企业受到Web攻击和受到的影响所产生的损失是不同的，这也是导致不同规模的企业对Web威胁重视程度不同的原因之一。 2，防御的僵局 目前企业用户对于Web威胁的重视程度也越来越高，大部分企业都会选择部署软硬件安全产品，以抵御Web威胁。趋势科技产品营销经理徐学龙认为，仅仅依靠单一安全产品已不能保证整个网络的安全、稳定运行。应对目前新型的Web威胁，利用架设在网关处的安全产品，在威胁进入企业网络之前就将其拦截在企业大门之外是更加有效的方法。在此基础上，还需要将被动防御转化为快速响应、主动出击的主动式安全专家服务，才可以最快的速度帮助企业客户有效管理安全事件并减少业务损失。 根据IDC年初公布的报告，全球Web安全市场将会在2012年前达到65亿美元的规模。事实上，这一市