《《精编》某网站安全技术的研究与应用课程》由会员分享,可在线阅读,更多相关《《精编》某网站安全技术的研究与应用课程(46页珍藏版)》请在金锄头文库上搜索。
1、Web网站安全技术的研究与应用中文摘要本课题首先对当前Web网站安全理论如SSL,数字证书,角色控制等内容进行分析。在此基础上,利用ASP.NET技术,在Windows Server 2003环境下,搭建一个示范网站。在不对网站造成危害的前提下,对公网上的Web网站及示范网站进行SQL注入攻击,DDOS攻击,漏洞扫描等攻击测试。通过对攻击测试结果的分析,结合安全理论,得出一些Web网站的安全防护措施。Web2.0一经推出,就以其平台无关性等特点,依托分布式技术所特有的优势,促使全球Web网站进入快速发展的阶段。Web网站以实现资源共享主目的,在为组织内部提供新的业务活动方法的同时,进军商业领域
2、。随着信息资源的高速发展,使人们对网站安全性的要求也在不断增长。在畅享网络带给我们便捷生活的同时,我们的网站也面临着前所未有的安全问题。为解决Web网站面临的安全性问题,本次研究分为四个部分。首先进行理论分析。计算机网络安全理论内容繁多,重点在分析与Web网站安全相关的安全理论基础。其次,使用ASP.NET技术,在Windows Server 2003服务器上搭建一个小型的示范网站,一方面直接了相应的安全技术,另一方面用于攻击测试。再次,用黑客的眼光寻找网站安全漏洞。对示范网站及运行中的网站进行无破坏性的SQL注入攻击,DDOS攻击,漏洞扫描等攻击测试。验证Web网站安全理论,取得攻击测试的第
3、一手数据。最后,对比、分析所得到的攻击数据,结合理论基础,提出Web网站安全的一些防护措施。最后,提出了Web服务器端的安全防护措施,在编写网站代码时可以使用的安全手段,以及对抗常见网站攻击的方法。关键词:Web服务,安全,ASP.NET,IISResearch and Application of the Web Site Security TechnologyAbstractThis project begins with the analysis of the Web site security theory, such as SSL, Digital Certificate, and
4、RBAC. Then we make a Web site ourselves based on ASP.NET and Windows Server 2003.In the condition of doing no harm to the Web site, we attack the Web site. SQL Injection, Scan, DDOS are included. As soon as the release of Web2.0, the Web sites developing very quickly in the whole world, based on the
5、 features of dispersed technology, such as the platform independent. Web sites have been used as sharing resource. Now ,it also have been used in business services. Web sites provide the new ways for the operational action in the organization. With the developing of information resources ,we have mo
6、re secure requirements. While we enjoy the advantages of Web sites, we have to face up to the web sites security.I make the research into four parts, in order to save the safe problem. First of all, we analysis the theory. There are so many issues in the network security, we found the theories are r
7、elated to the Web site security. Second, I make a Web site myself based on ASP.NET and Windows Server 2003.It can armed with the security technology, on the other hand , it can also be use in attack. Third, we find the bugs in the Web site by the way of hackers. We attack the Web site, such as SQL I
8、njection, Scan ,DDOS and so on. We can get the first-hand data by attack. The last, we contrast and analysis the data, combine with the theories ,give some advises to protect our Web sites.At last ,I give some ways to protect our Web server . While we are coding our Web site, what can we do to prote
9、ction .And the methods to compete with the Web sites attacks.Key words: Web Service, Security, ASP.NET, IIS目录中文摘要IAbstractII第1章 绪论11.1 课题背景及意义11.2研究现状21.3.课题概况4第2章 理论基础62.1 Web安全基础62.2 保护Web服务器安全92.3 保护用户浏览器112.4保护网络及传输中的数据安全11本章小结13第3章 研究思路与方法143.1任务需求143.2 方案设计15本章小结15第4章 方案实施164.1 搭建服务器环境164.2 设计
10、网站204.3 联合调试254.4攻击测试26本章小结34第5章 调试与数据分析355.1 调试站点355.2 攻击数据分析及相应的安全防护手段365.3 总结与展望38本章小结38结束语39谢辞40参考文献41第1章 绪论1.1 课题背景及意义World Wide Web即WWW或Web,开发之初就是为了能够实现资源共享。在1990年的三月,Tim Berners-Lee提出这个构想后,同年底,基于字符界面的Web客户浏览程序就在NextStep计算机操作系统上实现了。1991年的三月正式投入运行。由此开始,不到一年的时间里,就有50多个服务器投入运营。Web技术得到了飞速的发展。2003年
11、,Web2.0的概念被出提出,我们从过去在网络上冲浪,进入了在网络中制造波浪的时代。Web2.0从1.0时代单纯的“读”向“写”和“共同建设”方向发展。以Blog、RSS、TAG、SNS、Wiki等应用为核心,是使用Xml、Ajax等新理论和技术实现的因特网新一代模式1。随着近年光纤等通信线路的发展,信息传输的速度和质量有了明显提高。Java、JavaScript、ASP.NET、CSS等新技术的蓬勃发展,推动Web更加快速的发展。但是,任何事物都有其两面性。我们在享受网络所带来的畅快体验时,也不得不面对由此引了的一系列安全问题。随着计算机技术的不断发展,针对计算机进行的犯罪手段也不断翻新。从
12、最原始的闯入系统、窃听、哄骗到设计病毒、蠕虫、特洛伊木马等攻击手断也是日新月异。人们在对付计算机安全攻击的时候总是慢了半拍。而Web迅猛发展是基于它分布性、开放性、交互性等特点的,而在设计HTTP协议之初,并没有考虑到它的安全性问题。Web的精华在于它的交互性,而这,也成为了它的致命弱点。目前,全球因特网用户已经达到13.5亿。Web2.0普及后,网站站点功能从原来的资源共享开始向商业领域进军。正因为如此,我们所享受的网络环境开始变得越来越危险。Gartner的统计数据表明,当前网络上75%的攻击是针对Web应用的。而CNCERT更发文称,从2007年开始,Web安全威胁已经进入到快速发展阶段
13、。暴力破解密码、SQL注入攻击、DDOS拒绝服务攻击等攻击已经形成了专业的攻击团队,整个过程使用软件自动完成,容易上手,带来的威胁却个个不容小视。Web网站安全防护的形势日益严峻。国内一些站点针对Web网站安全做过一些调查,调查结果表明,高达63.6%的Web网站存在着较大的安全隐患,一旦遇到攻击,站点很容易瘫痪,甚至损失重要的文件信息。只有不到10%的网站做了较为完善的防护措施。当前,Web网站常见的威胁主要有占据大半个江山的SQL注入攻击,占了83.8%,接下来是权限弱口令,跨站脚本攻击和DDoS攻击。未来,针对应用程序的攻击会逐渐变成攻击的重点。面对如此严峻的安全威胁,我们采用了诸如防火
14、墙,访问限制等方式,这在一定程序上遏制了不安全因素的传播。但是,还有不少已有的安全问题没有得到有效解决,或是因解决成本较高而没有普及。同时,新的安全问题层出不穷,对我们来说,简直是雪上加霜。况且,黑客在利益等因素的驱使下,寻找网站弱点往往比防护人员要来的快、准、狠,网站安全问题形势十分严峻。网站攻防是一个整体,想要保护好自己,就要有矛和盾。我们首先要明确自己网站的安全定位,确定安全防护等级。在配置好自己盾的基础上,多了解别人的矛是什么样的,自己能否抵挡。做到知已知彼,才能百战不殆。这次课题要研究的,就是了解自己的需求,设置好自己的盾,模拟别人的矛,用黑客的眼光和攻击方式,在设立好自己盾的基础上
15、,使用各种攻击方法进行攻击,测试自己网站的安全性,了解自己的安全弱点,在合理的承受范围内,完善安全措施,最大限度保证Web站点安全。通过这种方法,总结出一些可以为一般的网站用户提供相对安全的网站防护经验。1.2研究现状1.2.1国内外研究现状与发展趋势虽然,网站面临着各种各样的威胁,但是我们总不能因噎废食。因为3G手机容易中毒,就用回2.5G的手机毕竟是少数。我们从一开始,就持续不断地同安全威胁做斗争,将来还要持续下去。这里,要先明确安全站点的概念。世界上不存在绝对安全的站点,只有相对安全的站点。一个站点无法做到完美无缺,毫无漏洞。那么,一个安全的站点首先要明确自己的安全定位,根据需求做好安全
16、评估和安全策略,建立足够的安全监测系统。一旦站点出现问题,可以很快的发现被攻击点,修补受损数据,避免在同一块石头上第二次被绊倒。安全措施的配置只要能保证攻击成功所花费的成本大于攻击所得到的利益时,这个站点就可以被称为是安全的。目前国内外研究的重点在保障网站的机密性、完整性、非否认性和可用性。其中,机密性、完整性和可用性被称为“信息安全金三角”,是重点考虑的问题。机密服务要保护信息不被未授权用户所理解,即使这个信息被他所截获。完整性在于保证数据在没有被篡改的情况下送达授权用户手中。可用性则保证授权用户所得到的信息是可用的。非否认性主要保护信息接收方能够确认信息的实际发送人是这个信息的声明发送人 2。因此,针对以上这些要求,研究人员根据ISO分
