Web应用防火墙的设计与实现-电子与通信工程专业论文.docxVIP

万方数据 万方数据 Web应用防火墙的设计与实现 摘 要 Web 2.0 时代的到来，人们在享受Web应用带来便利的同时，安全问题却 显得日益突出。 大部分Web应用都存在安全漏洞从而为攻击者提供了新的攻击 层面，敞开了一扇方便攻击的大门。 传统安全设备如网络防火墙、入侵检测系 统只能保护开放系统互连（OSI）参考模型的较低层，并不能有效防御应用层 的攻击。 Web应用的核心安全问题是用户可提交任意输入，而大部分Web应用开发 者对应用安全并不了解，对用户输入的数据没有做有效过滤，从而攻击者可以 绕过传统的安全防御措施，直接将恶意代码注入到Web应用中，通过Web应用 执行这些恶意代码实现操控数据库、更改文件系统、执行系统命令，最终甚至 可以控制整个应用系统。 Web应用防火墙通过在应用层设置安全规则来弥补传 统安全设备的缺陷，是解决当前日益严峻的Web安全的最有效方法。 本文首先深入分析了主流的Web攻击技术及相应的防御策略，总结了常 见Web应用的编码方式并提出了一些绕过现有防御措施的变种攻击技术。 在此 基础上提出了一个Web应用防火墙的整个系统架构和具体实现方式。 Web应用 防火墙主要由核心引擎、 管理模块和数据库三部分组成。 其关键部分是核心 引擎，由预处理模块、检测模块、输出过滤编码模块和日志审计模块组成。 通 过预处理模块实现SSL解码和输入编码及字符集的归一化，达到解密HTTPS流 量与阻止各种变种攻击的目的。 检测模块通过使用新型过滤规则来防止各种 恶意输入如SQL注入等，使用URL规则实现细粒度的访问控制和增加会话管 理模块来修复Web应用系统中可能出现的会话管理漏洞与防御应用层DDOS攻 击。 输出过滤编码模块通过自定义关键字防止敏感信息泄露，并且实现轻量级 的HTML解释引擎对输出的恶意HTML标签和其属性进行安全编码，阻止各种 跨站攻击。 最后通过单向散列函数和消息鉴别码实现日志审计系统的完整性与 一致性保护，便于日后分析与取证。 Web应用防火墙系统使用Python实现，通过使用该Web应用防火墙对一典 — i — 上海交通大学硕士学位论文 WEB应用防火墙的设计与实现 型Web应用漏洞框架进行防御，在部署Web应用防火墙之前与之后分别对漏洞 框架进行模拟漏洞攻击和模拟应用层DDOS攻击。 实验结果表明该Web应用防 火墙可以有效地阻止主流Web应用层的恶意攻击及其变种，而正常的Web流量 可以顺利通过，有效地保障了Web应用的安全。 关键词： Web应用防火墙 SQL注入 跨站攻击 应用层拒绝 服务攻击 ii — The Design and Implementation of Web Application Firewall ABSTRACT The era of Web 2.0 is coming, which brings much convenience to every network user. However, the security issue on web applications becomes more and more serious, since a large of these web applications contain security vulnerabilities, which give a chance for those malicious attackers. Moreover, the traditional security softwares, like intrusion detection system or firewall, can only provide protectections for the lower layer of OSI(Open Systems Interconnection) model, but fail to avoid web application layer attack. The core security issue for Web application lies in the input, which any user can submit. But most Web application developers don’t konw much about the knowledge of security programming, which results in the inability of filtering the data input. As a result, the attackers can pass through the traditional security def