您的位置: 首页 >  心花怒放 >  正文内容

【死飞的安全性课题研究】Web安全性的研究

来源:居高临下网    时间:2019-03-17




作文「Web安全性的研究」共有 3338 个字,其中有 1990 个汉字,1009 个英文,98 个数字,241 个标点符号。作者佚名,请您欣赏。玛雅作文网荟萃众多优秀学生作文,如果想要浏览更多相关作文,请使用网站顶部的作文搜索引擎进行搜索。本站作文虽然不乏优秀之作,但仅为同学们学习交流的习作,不能当作范文使用,希望对同学们有所帮助。

摘要:该文对Web应用程序所面临的SQL注入攻击、跨网站脚本、伪造客户端请求、传输层保护不足等安全风险进行了研究与分析。针对Web安全性的解决方法,该文深入研究了身份认证、数据库安全通信、加固会话、数据验证等措施。
关键词:Web安全;安全风险;解决方法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4689-02
Research on the Safety of Web
LU Tao
(Liaoning Rail Transportation Management Engineering Department of Career Academy, Shenyang 110036,China)
Abstract: In this paper, which faces to the Web application of SQL injection attacks, cross site scripting, forged a client request, the transport layer such as inadequate protection of security risk analysis and research. Solution to 癫痫病需要手术吗the security of Web, this paper studies the identity authentication, database security communication, strengthening session, data validation measures.
Key words: Web security; security risk; Solutions
随着网络技术的飞速发展,Web应用已经非常广泛。其安全问题也给Web应用程序带来了极大的挑战。当前网络攻击行为主要是围绕Web服务器的各种安全漏洞而进行的。在程序设计及使用过程中,必须把Web安全性问题放在重要的位置,否则会给用户带来巨大的损失。
1 安全风险
根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、传输层保护不足。
1.1 SQL注入攻击
随着B/S框架结构在系统开发中的广泛应用,恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访问权限,进行破坏操作。
1.2 跨网站脚本
跨网站脚本(简称XSS)是当前恶意破坏者主要选择的攻击手段之一。XSS通过网页开发时留下的安全漏洞,注入恶意的指令代码,影响其他用户对网站的访问,同时获得用户的合法信息。受XSS攻击的网站通常是由JavaScript、ActiveX和普通的HTML设计的。
1.3 伪造客户端请求
伪造客户端请求(简称为CSRF)是通过用户浏览器向存在安全漏洞的Web服务器发送带有Cookie信息的请求,来替换文件地址达到自动链接的目的。
1.4 癫痫小发作怎么办传输层保护不足
当数据在传输层进行网络传输时,由于采用了简单或传统的加密算法,数据保密性和完整性很容易被破坏。攻击者利用密码、密钥、会话令牌等进行非法操作。
2 解决方法
2.1 身份认证
身份认证就是对应用程序客户端进行唯一标识。当用户访问Web系统时必须进行身份认证,身份认证通过后才允许进入数据库进行访问。增强身份认证通常采用管道加固验证、文件授权和数据库身份验证方法。
管道加固验证应用于动态页面。当服务器接到请求报文后,HttpRuntime把HTTP请求转交给HttpApplicationFactory。管道加固技术在HttpApplicationFactory的HttpApplication中,由多个HttpModule模块构成执行验证操作。
文件授权不仅要限制访问者对Web服务器的资源有对应的访问权限,还要对ASP.NET网络应用程序进行配置。ASP.NET网络应用程序是通过web.config文件进行配置的。web.config文件中拥有数据库连接关键数据和编码配置等信息。保证数据库存储的数据与web.config中数据的安全是文件授权的关键。在文件授权时,首先通过IIS配置将数据库文件映射到aspnet_isapi文件中。然后配置ASP.NET将数据库文件映射到HttpForbiddenHandler http句柄中。最后通过编写程序配置数据库文件过滤器,并将该程序映射到http句柄中。
数据库身份验证就是利用数据库验证用户身份和密码校验,对合法的用户执行相应的权限分配。首先需要在数据库中创建用户信息及角色权限。然后通过配置ASP.NET进行Windows窗体验证,禁止匿名访问。将通过窗体验证的用户信息添加到HttpCookie中,利用Encrypt()进行加密处理。
2.2 数据库安全通信
癫痫能彻底治愈吗据库安全通信包括SQL注入攻击的防范、安全设置、异常信息处理三个方面。
针对SQL注入攻击,最常用的方法是对访问者输入的字符进行过滤检验,但是攻击者经常把危险字符潜藏在用户输入的有效字符中完成过滤检验。通过正则表达式对页面的文本框输入的数据进行限制可以减少过滤检验存在的漏洞。
SQL数据库的安全设置能够增强数据库自身的防御力。其方法有对数据加密处理、更改服务器默认端口、用户角色及权限合理设置。 数据库异常信息是对数据库进行错误操作的返回值,通常包括数据库名称、用户信息和数据表结构等。攻击者通过分析数据库异常信息能够得到数据库中的重要内容,采取有效方法进行攻击。
2.3 加固会话
加固会话主要是对通过Web服务器验证的用户信息进行保护,提高用户数据的安全性。常用的方法有保护会话数据和令牌服务。
为了保护会话中的数据安全,在客户端与服务器进行数据交换时必须保证在可靠会话内,并且客户端要提交身份验证的凭据类型。会话中的令牌服务是依靠有状态安全令牌(SCT)来实现的,可以避免IIS服务器重置时对会话信息的影响。
2.4 数据验证
数据验证是用户在访问Web服务器时需要在页面上输入验证数据的方法。常用的有图片数据验证、脚本数据验证、Web窗体数据验证。
图片数据验证是在访问Web服务器时,在网页上随机生成需要输入的验证数据图片,同时把这些验证数据增加到服务器中进行统一核对。图片数据验证可以有效地防止恶意攻击,应用较为广泛。
脚本数据验证是在客户端通过脚本语言对访问者输入的字符进行是否含有恶意攻击代码的验证。这种方法只在客户端进行,减少了验证时间,针对传统脚本攻击方式有效。
Web窗体数据验证是由ASP.NET框架提供的控件技术。它包括比较验证、正则表达验证、可定制验证、范围验证、输入验证和综合验证六种控件。 <天津哪个医院能够治好癫痫病br> 3 总结
Web安全性最有效的方法就是在程序开发过程中减少安全漏洞,在程序运行过程中增强服务器监管。而减少安全漏洞是一项长期而复杂的研究,受操作系统、数据库、开发语言、网络环境多方面因素的影响,其结果对程序开发人员具有重要的实用价值。
参考文献:
[1] 李兴旺. Web程序安全性研究及其在上位机软件中的应用[D].漳州:闽南师范大学,.2013.
[2] 杨云.全方位构建安全Web系统[M].北京:清华大学出版社,2012,87-119.
[3] 张少辉,于来行,韩秋英. ASP.NET Web应用程序中SQL注入攻击的防范研究[J]. Soft Ware Guide, 2012, 11(5):21-32.
[4] Inyong Lee, Soonki Jeong. A novel method for SQL injection attack detection based on removing SQL query attribute values[J]. Mathematical and computer modelling2012,55(1/2).401-431.

WEB网站系统的安全性研究

[ 学位论文 ]  2005 - 湖南师范大学: 计算数学 张人意

  随着Internet的不断发展,WEB网站的内容已经涉及到现实世界的方方面面。WEB网站已经成为互联网最重要的资源。同时,WEB网站也面临着前所未有的安全威胁,黑客的入侵、病毒的蔓延扰乱了无数网站的正常运行,给社会带来了巨大...

Web安全性的研究相关推荐:

© zw.lhgzu.com  居高临下网    版权所有  渝ICP备12007688号