Web应用漏洞分析及防御解决方案研究.doc

58杨 林杨 鹏李长齐保山学院 计算机科学系云南 保山678000摘 要 Web技术在网络上的广泛应用使得Web网站系统时刻都在遭受着各种攻击与入侵网络上越来越泛滥的各种垃圾邮件、网络欺诈或诱骗钓鱼软件及盗号木马程序更加剧了网络用户在进行安全防护方面的困难Web应用安全面临的问题与挑战日益严峻。针对当前常见的SQL注入与溢出、ASP攻击与破坏列举Web应用程序不同的入侵漏洞及造成的危害程度详细分析了应用程序代码存在的不足及防范措施从代码设计上提出解决漏洞修补的安全技术与方法总结出一套完整的Web应用防攻击解决方案得出在Web应用漏洞方面防御时重点关注的几项关键内容确保整个网络应用服务系统的安全运行。关键词 Web应用漏洞攻击防御解决方案中图分类号 TP393.1 文献标识码 A 文章编号 1009-8054 201102-0058-03Analysis and Solution of Web Application LoopholesYANG LinYANG PengLI Chang-qiDepartment of Computer ScienceBaoshan CollegeBaoshan Yunnan 678000ChinaAbstract Web technology is widely used on networkWeb thus always suffers from a variety of attacks and intrusionsandWeb application increasingly faces serious security problems and challenges. In light of SQL injection and overflowASP attack and destructionvarious intrusion loopholes of and their resulted harms on Web application are cited shortcomings of the application code and preventive measures are analyzed in detailand the technologies and measures to solve these problems are proposedThus a complete solution in resistance of attacks against Web application and for ensuring safe operation of the system is achieved.Keywords Web application loopholeattackdefensesolutionWeb应用漏洞分析及防御解决方案研究收稿日期2010-09-25作者简介杨林1972年生男硕士副教授研究方向计算机网络技术应用等杨鹏1968年生男本科工程师研究方向现代教育技术应用等李长齐1982年生男硕士助理讲师研究方向现代教育技术应用等。0 引言随着互联网络的发展Web应用已经融入到网络中的各个方面。与此同时网络安全问题仍一直作为核心的焦点话题而存在。小至网络中的每台终端大至各类网络应用业务都或多或少地受到网络安全威胁。对于个人用户而言灰鸽子、熊猫烧香、冲击波对用户系统造成的破坏使得大家深刻地领会到了病毒攻击的威力。对于网络应用业务而言网络出口遭受分布式拒绝服务攻击Distributed Denial of serviceDDoS导致正常的Internet应用业务瘫痪、内部绝密文档信息或核心技术泄漏对外提供Web应用服务的服务器遭受攻击导致Web服务失效等1都直接或间接地造成了严重的影响。1 Web应用攻击及常见漏洞Web应用指采用浏览器/服务器Browser/ServerB/S架构、通过超文本传输协议HyperText Transfer ProtocolHTTP或以安全为目标的HTTP通道Hypertext Transfer Protocol over Secure Socket LayerHTTPS协议提供访问的各种应用服务统称。在这些Web访问中大多数应用并不是静态的网页浏览而是涉及到服务器端的动态处理由此而产生的各种应用攻击问题层出不穷。同时由于JAVA、PHP与ASP等程序语言开发人员的安全意识不强对程序参数输入等检查不严格等导致了Web应用安全问题一直作为一个大问题存在2。Web应用攻击是攻击者通过浏览器或攻击工