加强互联网攻击防范技能培养助职校生成才

加强互联网攻击防范技能培养助职校生成才

ID:43946918

大小:30.50 KB

页数:4页

时间:2019-10-17

加强互联网攻击防范技能培养助职校生成才_第1页
加强互联网攻击防范技能培养助职校生成才_第2页
加强互联网攻击防范技能培养助职校生成才_第3页
加强互联网攻击防范技能培养助职校生成才_第4页
资源描述:

《加强互联网攻击防范技能培养助职校生成才》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、加强互联网攻击防范技能培养助职校生成才摘要:飞速发展的互联网及其相关应用,在为人们生活带来大量便利的同时,也带来了巨大的安全风险,攻击者利用Web应用程序的安全缺陷,攻击窃取网站数据库中的敏感数据。其中SQL注入攻击相对于其他攻击入侵手段入门容易,防火墙不能対其有效地进行防范,成为了黑客主要的攻击手段之一。教师要让学生了解SQL注入攻击的基本原理和防范方法,加强互联网攻击防范技能培养,助职校生成才。关键词:技能培养;SQL注入攻击;职校生成才随着计算机和互联网的普及,以协同工作环境、社会性网络服务及托管应用程序为代表的基于B/S模式(即Browser/Server

2、结构)开发的WEB技术,在为人们生活带来大量便利的同时,也带来了巨大的安全风险,攻击者利用Web应用程序的安全缺陷,可以通过攻击Web应用程序,窃取网站数据库中的敏感数据,以及执行某些未授权的危险操作命令。据OWASP组织统计,包括SQL注入、恶意脚本注入、Shell注入和英他注入攻击在内的代码注入是针对Web应用程序的主流攻击技术之一。其中SQL注入攻击虽然早在1997年就已经被披露,相关的机构也极力完善与其相关的各种漏洞,但山于使用正常的WWW端口访问,使用的SQL语法漏洞与服务器平台及应用程序无关,技术难度不高,防火墙不能对其进行有效防范等特点,时至今日,依

3、然是黑客的主要攻击手段之一。根据数据应用安全提供商Imperva公司2012年10月的网络攻击分析报告显示,在黑客论坛上所有的被关注的Web应用程序攻击技术中,SQL注入攻击的关注率高居榜首。而伴随国内互联网的飞速发展,导致该行业需耍大量的程序员编写B/S应用程序满足市场要求。山于需求量大,入门门槛不高,因而国内许多职业技工学校开设了网站设计和网络管理类的专业,培养这方面的人员,满足市场要求。然而,相当大一部分程序员的水平及经验不足,在编写代码的时候,没冇对潜在的安全隐患进行防范,可能导致网站轻易被攻破,造成严重的经济损失。因此,教师要让学生了解SQL注入攻击的基

4、本原理和防范方法,加强互联网攻击防范技能培养,让职校生成为优秀的专业人才。一、SQL注入攻击原理SQL语言是一种一体化、高度非过程化的数据库数据访问的标准语言,提供了包括数据定义、数据操纵、数据控制以及最常用的数据查询在内的与数据库相关的全部功能,并且SQL除了以命令方式Z外,还支持以嵌入其他程序设计语言中使用的方式。用户访问网络上的网页时,是通过后台服务器上使用类似于"Select相关字段from表名where条件”的查询语句从后台数据库访问,从而获得用户所需的数据。在这过程中,由于查询语句是由服务器的代码和用户的输入组合生成的,如果利用SQL语言中的某些特殊转

5、义字符,如单引号、分号,可能使得预先设定的限制无效,从而改变SQL查询语句的执行顺序,并执行某些非预期的SQL指令代码,造成数据库中的敏感信息被泄露或被篡改的严重后果。当攻击者能够通过往查询中插入一系列的SQL操作将数据写入到应用程序中去,并对数据库实施了查询,这时就构成了SQL注入(SQLInjection)oSQL注入攻击主耍是通过构建特殊的输入,将SQL语法中的某些组合作为参数传入Web应用程序,通过执行SQL语句而执行入侵者想要的操作。以登录网站为例,假定网站将注册用户的编号、用户名及其对应的密码分别存放于名为login的表中的id>uname和psw字段

6、中,处理用户登录的动态页面代码如下:TnputUName=request・form("unanie”)InputPSW=request,form(“psw”)Setconn二Server.CreateObject(“ADODB.Connection”)Conn,openuDriver={SQLServer};Server=WEBSVR;DataBase=WebDB;UID二sa;WD二123”Setrso二server.CreateObject(^ADODB.RecordSetv)sql=“SELECT*FROMloginWHEREuname二”'&InputUN

7、ame&,”ANDpsw二”'&InpulPSW&'””Rso.0pensql,cnifrso.eofthenresponse・write("loginerror:usernameorpasswordincorrectn)elseresponse.write(uloginsuccess”)endif输入用户名“guest”和密码“123456”后,提交到后台数据库的查询语句为:SELECT*FROMloginWHEREuname=,guest'ANDpsw二'123456’.当表login存在guest用户且其密码为123456,则输出登录成功的信息,反之输出错误

8、提示。然而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。