系统等级保护中的Web应用安全评估精.docxVIP

HYPERLINK /quange/archive/2010/05/24/.html 系统等级保护中的Web应用安全评估 摘 要：Web应用安全评估是系统等级保护评估中的重要一环，本文以实例分析了常见Web应用漏洞的形成原理，介绍了相应的评估实施方法，并给出了增强Web应用安全性的实用性建议。 关键词：Web应用安全 评估 系统等级保护 跨站脚本 SQL注入 【本文作者：李毅、顾健、顾铁军，转载请注明】 1. 引言 当今世界，因特网已经成为一个非常重要的基础平台，很多单位都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据 Gartner 的最新调查，信息安全攻击有 75% 都是发生在 Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱。然而现实中绝大多数的投资都花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。 在Web应用的各个层面，都会使用不同的技术来确保安全性。为了保护服务端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SSL（安全套接层）技术加密数据；使用