跨站脚本攻击,sql注入,web脚本攻击,网页挂马,详细过程及主要代码.docxVIP

Web安全 目录 一、什么是 Web安全 二、 Web安全威胁日趋严重的原因 三、常见的 WEB安全攻击种类 四、 WEB应用防火墙 五、梭子鱼 WEB应用防火墙技术一览 一、什么是 Web安全 二、 Web安全威胁日趋严重的原因 三、常见的 WEB安全攻击种类 展开 一、什么是 Web安全 随着 Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生， 基于 Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都 架设在 Web平台上， Web业务的迅速发展也引起黑客们的强烈关注，接踵而 至的就是 Web安全威胁的凸显，黑客利用网站操作系统的漏洞和 Web服务 程序的 SQL注入漏洞等得到 Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网 站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。 二、 Web安全威胁日趋严重的原因 目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等， 很多恶意攻击者出于不良的目的对 Web 服务器进行攻击，想方设法通过各 种手段获取他人的个人账户信息谋取利益。正是因为这样， Web业务平台最 容易遭受攻击。同时，对 Web服务器的攻击也可以说是形形色色、种类繁 多，常见的有挂马、 SQL注入、缓冲区溢出、 嗅探、利用 IIS 等针对 Webserver 漏洞进行攻击。 一方面，由于 TCP/IP 的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进 程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存 在很多漏洞，诸如缓冲区溢出、 SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。 另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马 或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木 马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后 把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过 电子邮件附件和 QQ、 MSN等即时聊天软件，将这些捆绑了木马或病毒的文 件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件。 三、常见的 WEB安全攻击种类 1、 SQL注入：即通过把 SQL命令插入到 Web表单递交或输入域名或页 面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL命令，比如先 前的很多影视网站泄露 VIP 会员密码大多就是通过 WEB表单递交查询字符 暴出的，这类表单特别容易受到 SQL注入式攻击。 2、跨站脚本攻击 ( 也称为 XSS)：指利用网站漏洞从用户那里恶意盗取 信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。 3、网页挂马：把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，再加代码使得木马在打开网页里运行。 sql 注入 所谓 SQL注入，就是通过把 SQL命令插入到 Web表单递交或输入域名或页面请求的查询字符串， 最终达到欺骗服务器执行恶意的 SQL命令，比如先前的很多影视网站泄露 VIP 会员密码大多就是通过 WEB表单递交查询字符暴出的， 这类表单特别容易受到 SQL注入式攻击 ． 目录 sql 注入 注入大致方法： 常用 sql 注入语句 sql 注入 注入大致方法： 常用 sql 注入语句 sql 注入 什么时候最易受到 sql 注入攻击 当应用程序使用输入内容来构造动态 sql 语句以访问数据库时，会发生 sql 注入 攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串 来传递， 也会发生 sql 注入。 sql 注入可能导致攻击者使用应用程序登陆在数据库中执 行命令。相关的 SQL 注入可以通过测试工具 pangolin 进行。如果应用程序使用特权 过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容 直接用来构造动态 sql 命令，或者作为存储过程的输入参数，这些表单特别容易受到 sql 注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者 程序中本身的变量处理不当，使应用程序存在安全隐患。这样，用户就可以提交一段 数据库查询的代码， 根据程序返回的结果， 获得一些敏感的信息或者控制整个服务器， 于是 sql 注入就发生了。 如何防止 SQL注入 归纳一下，