Web网站安全技术分析.pdfVIP

计 算 机 系 统 应 用 2008 年 第 12 期 Web网站安全技术分析 AnAnalysisofW ebsiteSecurityTechnology 符凤平 (贵州省安顺市气象局 贵州 安顺 561000) 摘 要：本文从 Web网站安全现状出发，分别从程序设计、Web服务器、数据库等三方面对网站安全技术进行 了 较为详细的分析 ，并有针对性地提 出相应的安全防范措施。主要介绍以下安全技术：SOL注入攻击、md5 算法、Web服务器操作系统的配置与管理、Access数据库和SOLServer2000数据库的安全管理等。 关键词：SQL注入 md5算法Session对象Web服务器 数据库管理 计算机网络技术的发展，给人类带来了极大的便 网络上大量泛滥，攻击技术不断得到普及与提高；④病 利 ，但随之而来的是一系列安全问题 ，这些安全问题使 毒泛滥带来的潜在危害。由此可见 ，网站安全面临着 得 Web网站的开发与维护变得 日趋复杂，网络安全管 极大的挑战，主要安全问题可以分为以下几类：①服务 理面临着极大的技术挑战。加强网络安全技术尤其是 器信息(如口令、密匙等)被破译，导致服务器被入侵 ； 网站安全技术方面的研究与应用，已成为当前计算机 ②浏览器功能强大，不仅为用户也为黑客的攻击提供 安全技术领域的研究重点。 了方便：③网站上的文件被非法访问，对文件的隐私 性、机密性和完整性造成较大的威胁；④web服务器中 1 引言 的程序缺陷，成为黑客的攻击 目标。综上所述，Web网 Web网站一般采用IIS服务与数据库技术，常存在 站的安全问题已成为当前计算机安全技术领域的主要 以下安全隐患：①操作系统未进行合理的配置与管理： 研究方向，也正是本文讨论的重点。 ~SQL注入式攻击对网站可能造成的破坏，如数据库 被入侵，重要信息被获取；③IIS服务、服务器端脚本运 3 Web网站安全技术分析 行环境 (如AsP)本身存在的一些安全漏洞等等。为了 3．1程序设计 排除上述系列安全隐患，在网站设计过程中，必须谨慎 3．1．1SQL注入攻击 地编写程序代码，多方面地采取安全措施。本文主要 SQL作为一种国际标准的数据库查询语言，在各 从程序设计、Web服务器、数据库等三方面对网站安全 种开发环境中得到了广泛的应用。SQL注入原理 ，就 技术作了较为详细的分析，并有针对性地提出相应的 是在客户端提交特殊代码 ，非法获取服务器信息。攻 防范措施。 击者把破坏性的SOL命令输入到Web页面的表单域， 导致Web服务器执行恶意的SQL命令。常见SQL注 2 Web网站安全现状 入攻击有以下两种情况 ： 计算机网络技术的迅猛发展，特别是 Internet网的 (1)用户登录漏洞。编写程序时，未对用户输入 普及、Web站点的增加 ，信息交互与共享已遍及整个世 信息的合法性进行判断，这样用户就可以提交一段恶 界。在这种互联性和开放性给社会带来极大效益的同 意性代码，以获得一些敏感的信息，或者控制整个服务 时，网站安全问题愈来愈突出。这是因为：①计算机犯 器。通常使用以下SQL语句进行用户密码验证： 罪手段不断提高：②网站交互性成为安全的致命弱点， Sql=”Select from表名wherename= user- 各种颇受用户欢迎 的功能如聊天室、电子商务、E— name”andpwd