Web系统的攻击渗透.docxVIP

Web系统攻击及其防范技术发展报告目录摘 要2关键字2Abstract2Keywords2一 攻击渗透31 攻击渗透的威害32 渗透攻击技术机理33 渗透攻击的主要实现机制33.1 ?预攻击阶段常见方式33.2 攻击阶段常见方式43.3 后攻击阶段常见方式5二 安全防范71. Web服务器安全防范71.1 建立安全的网络环境81.2 SSL安全协议在WEB服务器中的应用82. 动态验证、静态检测技术82.1 动态验证和分析技术82.2 静态检测和解密技术93. Web网站渗透测试94. SQL注入攻击防范105. XSS攻击防御106. Web 应用程序安全防范12三 总结12参看文献13摘 要：随着互联网的发展，恶意攻击者的目标逐步集中在对web网站应用方面的攻击，所以对web网站安全的研究也越来越多。控制Web应用安全实际上是一个减缓Web应用安全风险的过程，这一过程要遵循通用的信息安全风险减缓原则与流程，与网络及系统安全控制不同，Web应用安全控制主要集中在Web应用安全功能设计及实现的风险上，尤其是Web应用实现的风险。因此良好的安全防范技术必然成为web发展的保障，本文通过收集一些web系统攻击渗透技术来看当今主要的web防范技术及其应用。关键字： web系统 攻击渗透 安全防范Abstract：With the development of the Internet, The target of malicious attacks gradually concentrated in the attack on the web site applications. Therefore, the study of web site security is much more important. Control the Web application security actually is a process which slow the Web application security risk. This process must follow the common principles of information security risk mitigation. So a good web security technology must be ensure of the web development. This paper collect the information of the system attack infiltrate technology to know some web Prevention technology and its application.Keywords : web system attack infiltrate technology web Prevention technology在我国的互联网中,基于Web方式的渗透攻击从2003年左右的荫芽状态,经历了2004～2005年的发展期, 2006年至今已对普通互联网用户的网络隐私和虚拟资产利益构成严重侵害,对网站安全构成威胁。通过对渗透攻击技术机理和实现机制的分析,对渗透攻击安全监测技术展开了深入研究。黑客攻击用户常见的方法包括恶意钓鱼攻击、网页挂马攻击、社会工程学攻击及渗透攻击等多种方式。黑客渗透攻击是指黑客针对特定目标实施的多方位的攻击。这种攻击方式具有很强的针对性，黑客可以花很长的时间对已经确定的目标进行信息的搜集和整理，并结合一切可以利用的攻击手段对目标实施攻击。黑客渗透攻击的目的相当明确，就是入侵并盗取目标环境中的敏感数据信息，如敏感数据、敏感文件等。一 攻击渗透1 攻击渗透的威害渗透攻击主要是利用客户端存在的系统层和应用层间的安全漏洞，以窃取网络虚拟资产为目的，造成网络访问速度慢、网站内容呗篡改、终端被黑、甚至成为肉机用来攻击别人。一些网站遭受攻击后不再被信任，同时也对普通用户的隐私和财产造成严重侵害。渗透攻击技术机理常见的渗透攻击方式将渗透攻击伪装为页面元素,渗透攻击代码则会被浏览器自动下载到本地。利用脚本运行的漏洞下载、释放隐含在网页脚本中的渗透攻击代码。将渗透攻击伪装为缺失的组件,或和缺失的组件捆绑在一起。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。通过脚本运行调用某些com组件,利用其漏洞下载渗透攻击代码。在渲染页面内容的过程中利用格式溢出释放或下载渗透攻击。3 渗透攻击的主要实现机制渗透攻击主要分为3个阶段，我们分预攻击阶段、攻击阶段和后攻击阶段来讨论其主要机制。3.1 ?预攻击阶段常见方式黑客对攻击目标信息的收集可以通过多种方式实现，如通过查询域名的whois信息可以实