网站安全性研究.pdfVIP

32 安阳师范学院学报 2011矩 网站安全性研究 王茂 昌，黄甜，王普彪 ，赖培辉 (福建师范大学闽南科技学 院，福建 泉州 362332) [摘 要]随着互联 网的迅猛发展 ，网站安全性 问题 日趋严重 。黑客攻击 网站 ，导致 网站数据丢失，或者篡改网站数 据以达到私用 目的，或者致使网站拒绝服务…，本文 旨在分析黑客攻击 网站 的常用手段 、攻击原理 、攻击技巧 ，并在 网站 的程序代码 的编写上进行深入剖析 ，提 出编写安全代码 的方案 ，进一步规避 网站安全漏洞的产生 ，阻止黑客 的攻击行为 。 [关键词]网站安全 ；黑客 ；原理 漏洞 [中圆分类号]TP393．O8 [文献标识码3A [文章编号]l67l一5330(2o1lJ02—0038--05 主要有 以下几个 。 1 常用攻击手段 、攻击原理 1．页面跳转 ，甚至进入 “钓鱼网站”。假设用 1．1 跨站攻击 户输入 metahttp— equiv一”refresh”content 跨站攻击，简写为 XSS_】]。网站程序如果对 一 ”0；URI一http：／／baidu．com”／ ，页面执行 用户输人的数据过滤不够 ，黑客就可 以输入一些 后将迅速跳到百度首页。如果黑客输入的是一个 特定的HTML代码 ，进行盗取用户资料 、页面跳 经过伪造的银行类 “钓鱼网站”，大意的网络使用 转或利用用户身份进行欺骗 、执行 Web服务器端 者往往就会泄露银行账号密码等信息。 程序 。 2．构造语句 ，执行服务器端程序，比如提权， 导致跨站攻击的根本原因是程序员未对用户 设置上传格式。正常情况下，网站并不允许上传 输入的内容进行过滤。下面是一段 ASP注册程 CGI，ASP，PHP等文件 ，管理系统会提供一个文 序 ，实现用户输入用户名。 件设置上传格式 。假设设置允许上传的文件的服 客户端程序如下 ： 务器端程序为 a．asp?f一文件扩展名。黑客可以 form name— fmethod— postaction— reg．asp 构造iframesrc— a．asp?f—asp ／iframe 提交到服务器端保存 。当管理员访问到这个 内容 用户名 ：％inputname—usernametype—text~ 时，由于管理员有访 问配置文件 的权 限，那么 a． inputtype：=：submitvalue一提交 d ／form asp?f—asp 自动在服务器端运行 。管理员在不 自不觉 中，把 asp文件也加入到允许上传 的文件 Web服务器端程序如下： 列表中。此时，黑客就可 以上传 ASP木马程序 ， username-=~ request(”username”) 对网站服务器进行破坏性的活动。 response．write(username) 3．获取用户 Cookie，进行 Cookie欺骗攻击。 Cookie由服务器端生成，保存到客户端 ，用于用户 上述服务器端程序 中，未对用户输入 的数据 身份的识别。当再次请求同一 网站 时，浏览器就 进行任何的检测 ，就直接 响应输 出到客户端。如