web系统的攻击渗透.doc

Web系统攻击及其防范技术发展报告 目录 TOC \o 1-3 \h \z \u 摘 要 2 关键字 2 Abstract 2 Keywords 2 一 攻击渗透 3 1 攻击渗透的威害 3 2 渗透攻击技术机理 3 3 渗透攻击的主要实现机制 3 3.1 ?预攻击阶段常见方式 3 3.2 攻击阶段常见方式 4 3.3 后攻击阶段常见方式 5 二 安全防范 7 1. Web服务器安全防范 7 1.1 建立安全的网络环境 8 1.2 SSL安全协议在WEB服务器中的应用 8 2. 动态验证、静态检测技术 8 2.1 动态验证和分析技术 8 2.2 静态检测和解密技术 9 3. Web网站渗透测试 9 4. SQL注入攻击防范 10 5. XSS攻击防御 10 6. Web 应用程序安全防范 12 三 总结 12 参看文献 13 摘 要：随着互联网的发展，恶意攻击者的目标逐步集中在对web网站应用方面的攻击，所以对web网站安全的研究也越来越多。控制Web应用安全实际上是一个减缓Web应用安全风险的过程，这一过程要遵循通用的信息安全风险减缓原则与流程，与网络及系统安全控制不同，Web应用安全控制主要集中在Web应用安全功能设计及实现的风险上，尤其是Web应用实现的风险。因此良好的安全防范技术必然成为web发展的保障，本文通过收集一些web系统攻击渗透技术来看当今主要的web防范技术及其应用。 关键字： web系统 攻击渗透 安全防范 Abstract：With the development of the Internet, The target of malicious attacks gradually concentrated in the attack on the web site applications. Therefore, the study of web site security is much more important. Control the Web application security actually is a process which slow the Web application security risk. This process must follow the common principles of information security risk mitigation. So a good web security technology must be ensure of the web development. This paper collect the information of the system attack infiltrate technology to know some web Prevention technology and its application. Keywords : web system attack infiltrate technology web Prevention technology 在我国的互联网中,基于Web方式的渗透攻击从2003年左右的荫芽状态,经历了2004～2005年的发展期, 2006年至今已对普通互联网用户的网络隐私和虚拟资产利益构成严重侵害,对网站安全构成威胁。通过对渗透攻击技术机理和实现机制的分析,对渗透攻击安全监测技术展开了深入研究。 黑客攻击用户常见的方法包括恶意钓鱼攻击、网页挂马攻击、社会工程学攻击及渗透攻击等多种方式。黑客渗透攻击是指黑客针对特定目标实施的多方位的攻击。这种攻击方式具有很强的针对性，黑客可以花很长的时间对已经确定的目标进行信息的搜集和整理，并结合一切可以利用的攻击手段对目标实施攻击。黑客渗透攻击的目的相当明确，就是入侵并盗取目标环境中的敏感数据信息，如敏感数据、敏感文件等。 一 攻击渗透 1 攻击渗透的威害 渗透攻击主要是利用客户端存在的系统层和应用层间的安全漏洞，以窃取网络虚拟资产为目的，造成网络访问速度慢、网站内容呗篡改、终端被黑、甚至成为肉机用来攻击别人。一些网站遭受攻击后不再被信任，同时也对普通用户的隐私和财产造成严重侵害。 渗透攻击技术机理 常见的渗透攻击方式将渗透攻击伪装为页面元素,渗透攻击代码则会被浏览器自动下载到本地。利用脚本运行的漏洞下载、释放隐含在网页脚本中的渗透攻击代码。将渗透攻击伪装为缺失的组件,或和缺失的组件捆绑在一起。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。通过脚本运行调用某些co