返回
浅谈WEB编程中脚本的漏洞与防范策略

浅谈WEB编程中脚本的漏洞与防范策略

ID:46748066

大小:64.50 KB

页数:5页

时间:2019-11-27

浅谈WEB编程中脚本的漏洞与防范策略_第1页
浅谈WEB编程中脚本的漏洞与防范策略_第2页
浅谈WEB编程中脚本的漏洞与防范策略_第3页
浅谈WEB编程中脚本的漏洞与防范策略_第4页
浅谈WEB编程中脚本的漏洞与防范策略_第5页
资源描述:

《浅谈WEB编程中脚本的漏洞与防范策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈WEB编程中脚本的漏洞与防范策略【摘要】现如今,在计算机信息技术快速发展的过程屮,网络安全逐渐成为计算机用户与WEB程序员共同面对的一道难题。在借助信息技术的过程中,不乏侵犯者可以对多领域侵袭,引发互联网安全等多项问题。作为一名WEB程序员,在编程脚本运行的过程中需要对各项漏洞进行检测,并采取相应的防范措施,保证WEB编程脚本的安全。本文通过实例対WEB编程屮存在的漏洞进行分析,并根据实际情况采取防范措施。【关键词】WEB编程脚本漏洞防范策略1引言网络信息技术的快速发展,促进了互联网信息技术的广泛应用。但是在互联网应用的过程屮,冇一个问题成为其中影响最大的问题,即网络安全

2、问题。网络安全问题的出现,不仅仅影响用户的使用效果,还会给营造和谐的网络环境造成负面影响。在信息技术快速发展的过程中,如果网络安全不能获得有效的保证,将会给人们带來潜在的经济损失。作为网络中的一种编程,WEB编程脚本中存在的漏洞问题已经逐渐一起人们的广泛关注。人们在使用网络的过程屮,脚本运行是最为常见的,如果不能客观准确地看待脚木中的漏洞,将会直接影响用户使用互联网的质量,影响信息技术的快速发展。2WEB编程脚本的概述脚木在网络中的应用,随处可见,较为常见的主要有ASP、PHP、ASPX以及JSP等脚木语言,各类脚木语言常见于新闻发布系统、电子商务系统以及BBS系统中。程序员

3、在设计WEB程序的时候,重点放在程序编程方面,并未予以脚本漏洞过多的关注,进而给脚本漏洞的产生提供有力的条件[llo根据脚木语言编程的情况可以这么说,对脚木漏洞的注意,避免黑客的侵袭。但是在脚本的定义方面,人们具有一定的疑惑,人们在使用网络的过程中并不清楚脚本与HTML机编程语言的有何不同。从本质上來说,脚本其实就是HTML与Pascal.C++、Java.VB、C#等相关编程语言之间的一种语言。在脚本运行的过程屮,操作系统联合脚本引擎以及脚本语言共同组合而成的一种工作方式。通常情况下,脚本语言并不是可以直接编译成可执行文件的,HTML在变成语言中属于一种解释性语言。从实际应

4、用的过程中就了解到,脚本语言与编程语言的最大区别就在于编程语言的语法和规则更严格、更复杂。在实际应用脚本语言的过程中,就要保证脚本语言在服务器上正常的运行,需要在服务器端安装脚本引擎,例如可以在ASP上安装TTS,JSP上安装JDK与RESIN,ASPX上安装TTS与NET和FRAME等,脚本引擎需要为脚本主机提供环境,并对脚本程序中德脚本命令进行解释。在对命令解释完后,脚本引擎就会在将执行结果一HTML的语言格式发送给客户端。但是客户端的浏览器是可以变量的形式,进而为脚本程序提供数据与指令。在实施的具体过程,将表单行使想WEB服务器发送变量,WEB服务器收到数据后就会将数据

5、以某种形式储存起来,随后就会调用浏览器制定脚本程序来处理变量,在跳用脚本程序的时候,WEB服务器根据脚本程序的扩展名來启动相应的脚本引擎解释脚本运行的程序[2]。3脚本漏洞实例分析通过前文的分析就可以知道,客户端的浏览器会根据变量或者是命令的想脚本程序提交与之相应的数据和指令,而这就是所谓的编写脚木程序。但是在编写脚本程序的时候应当避免出现脚本程序处理数据和指令出现漏洞与缺陷3.1弱字符过滤在WEB编程实施的过程中,为保证编程的准确性,需要对表单的各项数据进行处理,但是在此时处理的过程中应当特别注意,如果出现处理不当的现象,将会出现较多难以解决的问题。在提交数据的时候需要应用

6、Javascript技术,但是过滤技术在在应用的时候并没有将这些问题作为关注的对象。女口,用户在表单中应用Javascript技术,但是并没有对其中的代码采取过滤技术,就有可能会造成用户浏览表单死机的现象:for(inti二1;i二1;)window,open(〃a.〃—self",〃“);□但是用户使用表单内的数据库,而数据库里面的数据结果没冇进行过滤,将冇可能出现较为严重的漏洞情况。针对此,将JSP作为例子,在管理员登陆页面的时候就会出现这么一种情形:这样的程序代码粗略看过去根本就没什么漏洞,但是实际上并不是这样的,用户在登录也每年的时候name与passwor的文本框中

7、都输入〃'or,T二T〃,提交到服务器,上面的sql语句就会变成:select*frompinfowherename二''orT'二T'andpsw二''or'1'二T'从这就可以显然看出执行后显然rs.eof为真,用户在江adim登录标装置为true,这样攻击者就会以管理员的身份登录进admin,jsp页面,而用户在登以管理员的省份服务器后,就可能会向服务器传木马程序,进而就会造成服务器系统管理员的权限。就从下面的例子简单的来看代码过滤的Java代码片断:3.2不可忽视身份认证现如今,黑客软件到处泛滥

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。