跨站脚本攻击-sql注入-web脚本攻击-网页挂马-详细过程及主要代码.pdfVIP

Web 安全 目录 展开 一、什么是 Web 安全 　　随着 Web2.0 、社交网络、微博等等一系列新型的互联网产 品的诞生，基 Web 环境的互联网应用越来越广泛，企业信息化 的过程中各种应用都架设在 Web 平台上，Web 业务的迅速发展也 引起黑客们的强烈关注，接踵而至的就是 Web 安全威胁的凸显， 黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞 等得到 Web 服务器的控制权限，轻则篡改网页内容，重则窃取重 要内部数据，更为严重的则是在网页中植入恶意代码，使得网站 访问者受到侵害。这也使得越来越多的用 关注应用层的安全 问 题，对 Web 应用安全的关注度也逐渐升温。 二、Web 安全威胁 日趋严重的原因 　　目前很多业务都依赖于互联网，例如说网上银行、网络购 物、网游等，很多恶意攻击者出于不良的目的对 Web 服务器进行 攻击，想方设法通过各种手段获取他人的个人账 信息谋取利益。 正是因为这样，Web 业务平台最容易遭受攻击。同时，对 Web 服 务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL 注入、缓冲区溢出、嗅探、利用 IIS 等针对 Webserver 漏洞进行攻 击。 　　一方面，由 TCP/IP 的设计是没有考虑安全 问题的，这使 得在网络上传输的数据是没有任何安全防护的。攻击者可以利用 系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自 己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运 行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也 没有过多考虑到安全的 问题，这使得程序本身存在很多漏洞，诸 如缓冲区溢出、SQL 注入等等流行的应用层攻击，这些均属于在 软件研发过程中疏忽了对安全的考虑所致。 　　另一方面，用户对某些隐秘的东西带有强烈的好奇心，一 些利用木马或病毒程序进行攻击的攻击者，往往就利用了用 的 这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视 频及免费软件等文件中，然后把这些文件置于某些网站当中，再 引诱用 去单击或下载运行。或者通过电子 邮件附件和 QQ 、MSN 等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用 ，利 用用 的好奇心理引诱用 打开或运行这些文件。 三、常见的 WEB 安全攻击种类 　　 1、SQL 注入：即通过把 SQL 命令插入到 Web 表单递交或 输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶 意的 SQL 命令，比如先前的很多影视网站泄露 VIP 会员密码大多 就是通过 WEB 表单递交查询字符暴出的，这类表单特别容易受 到 SQL 注入式攻击。 　　2 、跨站脚本攻击(也称为 XSS) ：指利用网站漏洞从用 那 里恶意盗取信息。用 在浏览网站、使用即时通讯软件、甚至在 阅 读电子 邮件时，通常会点击其中的链接。攻击者通过在链接中插 入恶意代码，就能够盗取用 信息。 　　3 、网页挂马 ：把一个木马程序上传到一个网站里面然后用 木马生成器生一个网马，再上到空间里面，再加代码使得木马在 打开网页里运行。 　　 sql 注入 所谓 SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输 入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令，比如先前的很多影视网站泄露 VIP 会员密码大多就是通 过 WEB 表单递交查询字符暴出的，这类表单特别容易受到． 目录 sql 注入 什么时候最易受到 sql 注入攻击 　　当 应用程序使用输入内容来构造动态 sql 语句以访问数据 库时，会发生 sql 注入攻击。如果代码使用存储过程，而这些存