从攻击者角度浅析高校Web站点的安全.pdfVIP

201 0年第1 计算机系统应用 9卷第S期 从攻击者角度浅析高校Web站点的安全① 白兴瑞刘耀炎 (龙岩学院现代教育技术中心福建龙岩364000) 摘要：先简述了WEB攻击的种类，然后着重从攻击者角度，分别从web程序代码、文件目录权限、系统漏 洞、web验证漏洞、CGI参数、SQL注入、跨站点跟踪来浅析高校WEB站点的安全。 关键词：校园网；Web技术；网络安全；攻击 on of the WebSitesfromAttacker’s AnalysisSecurityCollege Viewpoint BAI Yao·Yan Xing·Rui，LIU (LongyanUniversity，Longyan364000，China) Abstract：Inthis ofwebattacksisdiscussed．Fromattacker’S of paper，thecategory viewpoint，thesecuritycollege Websitesis from asweb ofdocument analyzedmanyrespects，suchprocesscode，permissioncatalog， leakof andcross-sitetrack． web，CGI systemleak，validatory parameter，SQLinjection of Web；network Keywords：campusnetwork；technologysecurity；attack 高校的主页代码通大多是网络上的一些开放性代 管哪种攻击，攻击者都必须提交一些WEB程序不能正 码再修改而成。使其具有先天性的安全隐患，再加上 确解释的数值(程序设计员未考虑到的)，这样，WEB 高校web因其特殊性，及其容易受到非法篡改、破坏、 程序就可能产生意想不到的错误，甚至允许攻击者执 攻击。安天实验室的一份高校网站黑客入侵统计显示， 行任意命令。 在国内121个重点大学和487个普通大学中，86％ 攻击的预备阶段之一是收集潜在目标的公共信 的高校网站因为存在漏洞而遭到黑客入侵【1】。因此如 息，此过程称为足印【2】。攻击者常通过Google等搜 何来防止web入侵是高校网络安全的首要问题，这里 索引擎构造一些查找关键字，去查找有漏洞的web应 从攻击者角度来对高校Web入侵浅析，通过发现其存 用程序。最经典的源代码泄露漏洞包括IlS上的 在的缺陷和漏洞达到WEB的安全。从攻击者角度来对 Tomcat和BEA “+．htr”漏洞，Apache WebLogic Server Web入侵分析可以保证检测的高效可靠，另外，从某 也存在类似问题，只是这次是在请求Java 个角度