校园网中Web网站的安全防护.pdfVIP

维普资讯 2007年 12月第 4卷第 36期 医药信息化 · 校园网中Web网站的安全防护 龚庆悦 f南京中医药大学信息技术学院，江苏南京 210046) 摘【要】本文主要讲述 Web网站如何防范 目录遍历攻击 、SQL注人攻击 、跨站脚本攻击和篡改隐藏域攻击等的方法 ， 以及如何减少Web网站的受攻击面。 关【键词】Web网站安全；不安全登录机制；目录遍历攻击；安全配置 中【图分类号】G434 文【献标识码】B 文【章编号】1673_7210(2007l12(cl一191-02 SecurityofW eb sitein campusnetwork GONGQing--yu~ (NanjingUniversityofTraditionalChineseMedicine，Nanjing 210046，China) [Abstract]ThisthesisfocusOilwebsecurityandcountermeasuresagainstunsecuredloginsystem，directorytraversa]at— tack，SQLinjection，hiddenfieldmanipulationandcross-sitescripting． [Keywords]Websecurity；Unsecuredloginsystem；Directorytraversalattack；SecuriytConfiguration 目前 ，校园网内的服务器星罗棋布 ，它们支撑着各种各 效 口令测试 。输人这些测试信息后 ，网站应用程序的响应信 样 的信息服务 ．如校园新 闻的发布 、校务信息 的公开 、学生 息可能是 “你的用户账户无效”或 “你的口令不正确”。根据应 成绩 的登录和查询、工资查询 、科研经费查询 、各 门课程教 用程序 的这些错误信息可以知道 ：哪个参数是无效的，哪个 学资源的共享等 。在多种特定角色服务器 (如 FrP服务器 、 是有效 的。如果恶意攻击者知道 了账户是对的或 口令是对 DNS服务器 、Web服务器)中，又数 Web服务器最易受到来 的，那么他们的工作量就减少了一半 ，如果他们知道 了一个 自网络的攻击 ，这些攻击可 能来 自校 园网 内部 ，也可 能来 正确的用户名 ．就可简单地写 出一个脚本或用现成的攻击工 自外部互联 网。黑客一旦成功入侵 Web服务器 ，就会窃取 具来 自动进行 口令的破解。如工具 Brutus2[1可使用字典式攻 一 些机密或敏感 的信息 。停掉或启用 Web服务器上一些服 击或蛮力攻击来破解http表单认证机制。 务或应用程序 ．停掉 Web服务器上 的 日记或其他安全控 1．1．2改进网站登录机制安全性的方法 包括：①返回给终端 制 。执行缓冲区溢 出攻击，加载其他类型的Dos(拒绝服务) 用户 的错误提示越通用越好 。例如 ：“你 的ID和 口令不匹 攻击 ，上传证 明 自己入侵成功的文件或将 Web服务器作为 配 !”②网站应用程序不应在URL中针对无效的用户账户或 攻击其他计算机系统的跳板等 】1『。如何有效地保护 Web服 口令返 回不同的错误信息 ．如果必须在 URL中返 回信息 ，可 务器上信息 的安全性和服务 的可用性是 目前迫切需要重 用类似于 “www-yourweb—app．com／login．cgi?success--false”的 视 的问题 方法．使得黑客不知是账户错还是 口令错。③在 网站上应用 1Web网站面临的主要攻击类型和防护方法 人侵锁 定机制 ，在 l0～l5次不成