Ｗｅｂ应用程序漏洞及安全研究.docVIP

Ｗｅｂ应用程序漏洞及安全研究 　　摘要： Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险，但有许多方法可以帮助减轻这一危险。本文 研究了Web应用程序的漏洞，探讨了Web安全的现状及问题由来以及几种主要Web安全技术，提出了实现Web安全的几条措施。 　　关键词：Web应用程序; 安全; 漏洞 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)09-11635-03 　　 　　Web Application Procedure Crack and Safe Research 　　WANG Hai-liang, ZHOU yong 　　（Information and Communication Engineering Institude,Tianjin Polytechnic University,Tianjin 300160,China） 　　Abstract: Web applications to be able to attack peoples property, resources and reputation of causing significant damage. Although the Web application increased the risk of attacks by the users, but there are many ways to help alleviate the danger. This paper studies the application of the Web loophole, a Web security of the status quo and problems of origin, as well as several major Web security technology, the realization of several Web security measures. 　　Key words: Web application procedure; Safe; Crack 　　 　　1 引言 　　 　　随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。 　　 　　2 Web的安全漏洞 　　 　　2.1 常见的Web应用程序漏洞 　　2.1.1 已知弱点和错误配置 　　已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置，包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过，这样可能会导致泄露存储在Web服务器上的一些敏感信息，如口令、源代码或客户信息等。 　　2.1.2 隐藏字段 　　在许多应用中，隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此，但这些字段并不是很隐蔽的，任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段，为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功，是因为大多数应用没有对返回网页进行验证；相反，它们认为输入数据和输出数据是一样的。 　　2.1.3 后门和调试漏洞 　　开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以，但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。 　　2.1.4 跨站点脚本编写 　　一般来说，跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式，将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。当用户查看这个公告牌时，服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码，因为它认为这是来自Web服务器的有效代码。 　　2.1.5 参数篡改 　　参数篡改包括操纵URL字符串，以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的