Web安全性的研究

摘要：該文對Web應(yīng)用程序所面臨的SQL注入攻擊、跨網(wǎng)站腳本、偽造客戶端請求、傳輸層保護(hù)不足等安全風(fēng)險進(jìn)行了研究與分析。針對Web安全性的解決方法，該文深入研究了身份認(rèn)證、數(shù)據(jù)庫安全通信、加固會話、數(shù)據(jù)驗證等措施。

關(guān)鍵詞：Web安全；安全風(fēng)險；解決方法

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）20-4689-02

Research on the Safety of Web

LU Tao

（Liaoning Rail Transportation Management Engineering Department of Career Academy， Shenyang 110036，China）

Abstract： In this paper， which faces to the Web application of SQL injection attacks， cross site scripting， forged a client request， the transport layer such as inadequate protection of security risk analysis and research. Solution to the security of Web， this paper studies the identity authentication， database security communication， strengthening session， data validation measures.

Key words： Web security； security risk； Solutions

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，Web應(yīng)用已經(jīng)非常廣泛。其安全問題也給Web應(yīng)用程序帶來了極大的挑戰(zhàn)。當(dāng)前網(wǎng)絡(luò)攻擊行為主要是圍繞Web服務(wù)器的各種安全漏洞而進(jìn)行的。在程序設(shè)計及使用過程中，必須把Web安全性問題放在重要的位置，否則會給用戶帶來巨大的損失。

1 安全風(fēng)險

根據(jù)2010年OWASP發(fā)布的Web應(yīng)用程序安全風(fēng)險主要是SQL注入攻擊、跨網(wǎng)站腳本、偽造客戶端請求、傳輸層保護(hù)不足。

1.1 SQL注入攻擊

隨著B/S框架結(jié)構(gòu)在系統(tǒng)開發(fā)中的廣泛應(yīng)用，惡意攻擊者利用SQL命令在Web表單中輸入合法的字符或查詢字符串來欺騙服務(wù)器執(zhí)行SQL命令。當(dāng)注入攻擊得逞后，Web程序?qū)⑿孤洞罅坑脩綦[私數(shù)據(jù)和數(shù)據(jù)庫中數(shù)據(jù)結(jié)構(gòu)。攻擊者能夠獲得系統(tǒng)較高的訪問權(quán)限，進(jìn)行破壞操作。

1.2 跨網(wǎng)站腳本

跨網(wǎng)站腳本（簡稱XSS）是當(dāng)前惡意破壞者主要選擇的攻擊手段之一。XSS通過網(wǎng)頁開發(fā)時留下的安全漏洞，注入惡意的指令代碼，影響其他用戶對網(wǎng)站的訪問，同時獲得用戶的合法信息。受XSS攻擊的網(wǎng)站通常是由JavaScript、ActiveX和普通的HTML設(shè)計的。

1.3 偽造客戶端請求

偽造客戶端請求（簡稱為CSRF）是通過用戶瀏覽器向存在安全漏洞的Web服務(wù)器發(fā)送帶有Cookie信息的請求，來替換文件地址達(dá)到自動鏈接的目的。……