《(战略管理)应用安全攻防策略》由会员分享,可在线阅读,更多相关《(战略管理)应用安全攻防策略(21页珍藏版)》请在金锄头文库上搜索。
1、Xx学院(软件学院)毕业论文题目 Web应用安全攻防策略 姓 名 专业班级 指导教师 完成时间 200x年 x月 xx学院(软件学院)制200x.x摘要:随着全世界网民的增加,极大的刺激了互联网络的发展。Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以I
2、nternet互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。为了让用户的合法权益不受侵害,网络安全技
3、术研究应运而声。关键词:网络安全 web安全 web应用 目 录一.引言2二.网络安全概述22.1网络安全研究背景22.2什么是安全4三.WEB应用攻击过程53.1什么是WEB应用攻击53.2WEB应用攻击特点63.3web网络攻击过程6四.web应用安全攻击方法74.1sql注入74.2xss104.4. DOS(拒绝服务)124.5.社会工程学13五.网络安全防范策略145.1防范sql注入式攻击145.2 验证码技术145.3防火墙技术155.4加强网络管理人员以及使用人员的安全意识18六.总结18参考文献19一.引言计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同
4、时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点.在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络
5、系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。二.网络安全概述2.1网络安全研究背景20世纪40年代,随着计算机的出现,计算机安全问题也随之产生。随着计算机在社会各个领域的广泛应用和迅速普及,使人类社会步入信息时代,以计算机为核心的安全、保密问题越来越突出。 70年代以来,在应用和普及的基础上,以计算机网络为主体的信息处理系统迅速发展,计算机应用也逐渐向网络发展。网络化的信息系统是集通信、计算机和信息处理于一体的,是现代社会不可缺少的基础。计算机应用发展到网络阶段后,信息安全技术得
6、到迅速发展,原有的计算机安全问题增加了许多新的内容。 同以前的计算机安全保密相比,计算机网络安全技术的问题要多得多,也复杂的多,涉及到物理环境、硬件、软件、数据、传输、体系结构等各个方面。除了传统的安全保密理论、技术及单机的安全问题以外,计算机网络安全技术包括了计算机安全、通信安全、访问控制的安全,以及安全管理和法律制裁等诸多内容,并逐渐形成独立的学科体系。 换一个角度讲,当今社会是一个信息化社会,计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网络的依 赖也日益增强,尤其是计算机技术和通信技术相结合所形成的信息基础设施已经成为反映信息社会特征最重要的
7、基础设施。人们建立了各种各样完备的信息系统,使得人类社会的一些机密和财富高度集于计算机中。但是这些信息系统都是依靠计算机网络接受和处理信息,实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。随着网络的开放性、共享性及互联程度的扩大,特别是Internet网的出现,网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如电子商务(Electronic Commerce)、电子现金(Electronic ash)、数字货币(Digital Cash)、网络银行(Network Bank)等的兴起,以及各种专用网(比如金融网等)的建设
8、,使得安全问题显得越来越重要,因此对网络安全的研究成了现在计算机和通信界的一个热点。 2.2什么是网络安全简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的,在公司与公司之间是不同的,但是任何一个具有网络的公司都必需具有一个解决适宜性、从属性和物理安全问题的安全政策。 伴随着现代的、先进的复杂技术例如局域网和广域网、Internet,安全的想法和实际操
9、作已变得更加复杂,对于网络来说,一个人可以定义安全为一个持续的过程。 计算机网络安全之所以重要,其主要原因在于: 1)计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私,因此成为敌对势力、不法分子的攻击目标。 2)随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。 3)人们对计算机系统的需求在不断扩大,这类需求在许多方面都是不可逆转、不可替代的。 4)随着计算机系统的广泛应
10、用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。 5)计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。 6)从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题。因此广泛存在着重应用轻安全、质量法律意识
11、淡薄、计算机素质不高的普遍现象。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的。 学习计算机网络安全技术的目的不是要把计算机系统武装到百分百安全,而是使之达到相当高的水平,使入侵者的非法行为变得极为困难、危险、耗资巨大,获得的价值远不及付出的代价高。 在网络环境里安全是一种能够识别和消除不安全因素的能力。安全的目的是使入侵者获得的价值远不及付出的代价高。三.WEB应用攻击过程3.1什么是WEB应用攻击WEB应用攻击,本质就是指通过http协议篡改应用程序。进而控制目标服务器,甚至控制整个目标网络。其中有包括有gui web攻击,url攻击,请
12、求方法、请求头、数据体,资源,认证、会话、授权,web客户端和html,ssl/tls,其他协议等等。3.2WEB应用攻击特点目前的网络攻击者主要是利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行网络攻击。目标系统攻击或者被入侵的程度依赖于网络攻击者的攻击思路和采用攻击手段的不同而不同。可以从攻击者的行为上将攻击区分为以下两类: 被动攻击:攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络或者基于系统的。这种攻击是最难被检测到的,对付这类攻击的重点是预防,主要手段是数据加密。 主动攻击:攻击者试图突破网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流,主
13、要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这类攻击无法预防但容易检测,所以,对付这种攻击的重点是“测”而不是“防”,主要手段有:防火墙、入侵检测系统等。3.3web网络攻击过程无论网络入侵者攻击的是什么类型的目标,其所采用的攻击手段和过程都有一定的共性。网络攻击一般分为如下几个步骤:调查、收集和判断出目标计算机网络的拓扑结构和其他的信息;对目标系统安全的脆弱性进行探测与分析;对目标系统实施攻击。 (1)调查、收集和判断目标网络系统的网络结构等信息。入侵者利用操作系统中现有的网络工具或协议收集远程目标系统中各个主机的相关信息,为对目标系统进行进一步分析和判断做准备。 (2)制定攻击策略
14、和确定攻击目标。收集到远程目标的一般网络信息后确定攻击对象,这与入侵者所制定的攻击策略有关。一般情况下,入侵者想要获得的是1个主系统上或1个可用的最大网段的根访问权限,通常只要成功入侵1台主机后,就可以控制整个网络。 (3)扫描目标系统。入侵者确定扫描远程目标系统,以寻找该系统的安全漏洞或安全弱点,并试图找到安全性最薄弱的主机作为入侵对象。因为某些系统主机的管理员素质不高,而造成的目标系统配置不当,所以这会给入侵者以机会。而且有时攻破1个主机就意味着可以攻破整个系统。 (4)攻击目标系统。入侵者使用扫描方法探测到目标系统的一些有用信息并进行分析,寻找到目标系统由于种种原因而存在的安全漏洞后,就
15、可以进行攻击并试图获得访问权限。一旦获得访问权限,入侵者就可以搜索目录,定位感兴趣的信息,并将信息传输、存储起来。通过这台薄弱的主机,入侵者也可以对与本机建立了访问连接和信任关系的其他网络计算机进行攻击。四.web应用安全攻击方法4.1sql注入Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。SQL注入是从正常的WWW端口通过对页面请求访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙很少会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,可以根据具体情况进行分析,构造巧妙的SQL语句,从而获取想要的数据。程序存在SQL注入,追其原因,是因为代码或者编码的不完善。但说到底,是程序员的惰性。代码的不完善,往往是因为在程序编写的过程中,没有考虑到代码的健壮性及安全性的结果,就国内现状来看,大多数网站使用的脚本语言,用ASP+Access或SQLServer的占70%以上,PHP+MySQL占 20%,其他的不足10%,并且
