返回
web程序和数据安全防范研究

web程序和数据安全防范研究

ID:5984581

大小:27.00 KB

页数:5页

时间:2017-12-30

web程序和数据安全防范研究_第1页
web程序和数据安全防范研究_第2页
web程序和数据安全防范研究_第3页
web程序和数据安全防范研究_第4页
web程序和数据安全防范研究_第5页
资源描述:

《web程序和数据安全防范研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Web程序和数据安全防范研究  摘要Web应用已经成为世界上最有效的沟通渠道,数以百万计的Web服务器成了信息资源集散地和海量数据存储区。Web应用一旦遭遇安全威胁,将带来不可预料的巨大损失。本文分析了Web程序与数据存在的安全威胁,并在此基础上探讨了Web程序与数据的安全防范技术。关键词Web;数据安全;防范措施;策略中图分类号:TP3文献标识码:A文章编号:1671-7597(2013)12-0167-011Web程序与数据存在的安全威胁5Web应用已经成为世界上最有效、最广泛的服务,以Web应用为基础的互联网经济已经成为世界经济的领航者。Web应用的安全涉及到了

2、社会生活的方方面面,一旦Web应用成为攻击者的目标,将给人们的生活带来不可预计的麻烦和损失。目前Web应用开发普遍都遵循三层体系结构,客户端程序与服务器端程序的通信通过超文本传输(HTTP)协议来进行,客户端程序通常是Web浏览器,服务器则存放着用户请求的数据、程序等Web资源。Web浏览器通过HTTP命令向Web服务器发起访问请求,Web服务器处理访问请求并返回处理结果,浏览器显示服务器处理结果。根据Web应用的工作流程,可以将Web程序和数据的安全威胁分为客户端安全威胁和服务器端安全威胁。1.1客户端安全威胁现阶段流行的各种客户端操作系统和浏览器软件虽然考虑到了各

3、阶层用户的需求但并不可能面面俱到,存在着各种各样的安全漏洞,这样就给攻击者带来了可乘之机。此种安全威胁最常见的补救办法便是“打补丁”。可是“打补丁”的方式往往滞后于攻击的时间,一个漏洞的补丁也许要数月,甚至数年才能发布。通过浏览器漏洞进行的安全攻击,目的更多的是为了进行更深层次的攻击,当被攻击的主机处于含有机密信息的内网时,被攻击的主机便成了进一步攻击的据点,攻击者可以通过被攻击的浏览器获取内网的机密信息并以此获利。如果将所有受到攻击的主机联结起来便成为了攻击者的僵尸网络,形成对Web应用的巨大威胁。1.2Web服务器端安全威胁Web服务器端的安全威胁主要来源于服务器

4、操作系统、Web应用程序及Web数据库系统的安全漏洞。由于Web服务器存储着用户的关键信息,比如用户的个人身份信息、银行账户、个人信用信息等,攻击者获取这些信息后便可以用来获利。另一方面,攻击者如果侵入了服务器,他便可以用Web应用来存储恶意代码进行挂马攻击或者XSS攻击。因此Web服务器常常成为攻击者的攻击目标。52常见的Web漏洞攻击2.1SQL注入式攻击SQL注入式攻击是利用Web应用程序本身的漏洞进行的一种侵入式攻击,这种方式通过侵入Web应用程序对与Web应用程序相连的数据库系统进行攻击。SQL注入式攻击常见的攻击方法有如下几类:数据操作攻击:攻击者通过数据

5、操作跳过Web应用程序的认证步骤后对后台数据库数据进行伪造、修改、删除等破坏性操作。命令执行攻击:一方面,攻击者利用数据库系统安全漏洞在数据库平台上执行SQL命令,从而获得对数据库系统的控制权限,转而实现对数据库系统所在主机的操作系统调用。另一方面,攻击者也可以通过调用数据库系统中存在安全隐患的存储过程实现命令执行攻击。信息修改攻击:攻击者通过操纵和执行DELETE、DROP、UPDATE和INSERT等数据操作语句来进行的以信息修改为目的的攻击。2.2跨站脚本攻击跨站脚本攻击是为了获取用户的Cookie信息,以便利用用户的Cookie完成信息的窃取、篡改。这种攻击方

6、式常用持久性攻击和反射攻击两种方法植入脚本代码,打乱同源规则限制,窃取用户的Cookie。52.3远程代码执行攻击远程代码执行攻击通过利用Web应用的编码错误导致的漏洞而在漏洞服务器上执行系统级代码的攻击,进行这种攻击,则整个Web服务器都会沦为攻击者的控制之下。3Web程序与数据的安全防范结合上面对Web程序与数据安全威胁的分析,我们可以采取以下技术手段对Web程序与数据的安全进行有力保证。3.1基于静态分析的检测技术静态分析通过对程序的源代码或者二进制代码进行分析以推断程序在执行过程中可能的行为的一种程序分析手段。应用静态分析技术可以发现软件运行时的错误,比如数组

7、越界、缓冲区溢出、数学运算溢出等。静态分析可以在早期发现软件潜在的安全漏洞,但是,静态分析存在着很大的不确定性。3.2基于动态分析的检测技术对运行着的Web应用的执行动作进行分析的方法都可以称为基于动态分析的检测方法,通过对应用程序接口(API)、系统调用、WindowsNativeAPI等各个层次的函数添加钩子函数来记录函数执行过程,以检测Web应用是被恶意代码侵入,动态的检测技术常被用于检测缓冲区溢出攻击和非法的内存访问攻击。53.3数据流跟踪技术数据流跟踪技术是观察在程序执行过程中,一些重要的数据如何伴随数据操纵的代码段的执行而导致数据在程序系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。