收藏
下载资源

Web应用漏洞的分析和防御

上传人:pu****.1 文档编号:483011959 上传时间:2023-04-18 格式:DOC 页数:36 大小:128.50KB
返回 下载 相关 举报
Web应用漏洞的分析和防御_第1页
第1页 / 共36页
Web应用漏洞的分析和防御_第2页
第2页 / 共36页
Web应用漏洞的分析和防御_第3页
第3页 / 共36页
Web应用漏洞的分析和防御_第4页
第4页 / 共36页
Web应用漏洞的分析和防御_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《Web应用漏洞的分析和防御》由会员分享,可在线阅读,更多相关《Web应用漏洞的分析和防御(36页珍藏版)》请在金锄头文库上搜索。

1、Web应用漏洞的分析和防御 10701 1020121232 代号 学号TP311 公开 分类 密级号 题( 中、英 文) 目 Web 应 用漏洞的分析和防 御TheAnalysisandDefense ofWebApplicationVulnerability作 者姓名 指导教 师姓名 、 职务 肖红 王琨 副教授 学科门类 学科、 专业工学 计算机系 统结构 提交论 文日期 二?一三 年二月 西 安电子 科技大学 学 位论文 独创性声 明 秉 承 学 校 严 谨 的 学 风 和 优 良 的 科 学 道 德 , 本 人 声 明 所 呈 交 的 论 文 是 我 个 人在导 师 指 导 下 进

2、行 的 研 究 工 作 及 取 得 的 研 究 成 果 。 尽 我 所 知 , 除 了 文 中 特 别 加 以 标注 和 致 谢 中 所 罗 列 的 内 容 以 外 , 论 文 中 不 包 含 其 他 人 已 经 发 表 或 撰 写 过 的 研 究 成果 ; 也 不 包 含 为 获 得 西 安 电 子 科 技 大 学 或 其 它 教 育 机 构 的 学 位 或 证 书 而 使 用 过 的材 料 。 与 我 一 同 工 作 的 同 志 对 本 研 究 所 做 的 任 何 贡 献 均 已 在 论 文 中 做 了 明 确 的 说明并表示了谢意。 申请学位论文与资料若有不实之处,本人承担一切 法律责任

3、。本人签名: 日期:西 安电子 科技大学 关 于论文 使用授权 的说明 本 人 完 全 了 解 西 安 电 子 科 技 大 学 有 关 保 留 和 使 用 学 位 论 文 的 规 定 , 即 : 研究生 在 校 攻 读 学 位 期 间 论 文 工 作 的 知 识 产 权 单 位 属 西 安 电 子 科 技 大 学 。 学 校 有 权 保留 送 交 论 文 的 复 印 件 , 允 许 查 阅 和 借 阅 论 文 ; 学 校 可 以 公 布 论 文 的 全 部 或 部 分 内容 , 可 以 允 许 采 用 影 印 、 缩 印 或 其 它 复 制 手 段 保 存 论 文 。 同 时 本 人 保 证

4、, 毕 业 后结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。 (保密的论文在解密后遵守此规定) 本学位论文属于保密,在年解密后适用本授权书。本人签名: 导师签名:日 期: 日 期:摘 要 随着计 算机 网络 技术 的 迅速 发 展,Web 应 用 系统在 电子 政务 与电 子 商务领域都得到了广泛的应用, 伴随而来的是黑客 利用 Web 应用程序漏洞发起的攻击 也大幅上升。如何减少 Web 应用程序漏洞,构建 功能安全的 Web 应 用 系 统 已 成 为Web 应用安全所面临的重要课题。 论文首先分析了 Web 应用安全的严峻形势,跟踪 Web 应用安全的 国内外现状,通过

5、对相关方面资料的研究, 提出了 Web 应用程序漏洞的概念,并对其分类进行了研究;接着 对当前 Web 应用程序中常见漏洞进行深层分析, 所涉及漏洞包括:SQL 注入 、跨 站 脚本、 跨站 请求 伪造、 拒绝服 务、 缓冲 区溢出 、会话 攻击、目 录 遍 历 漏 洞 、 文 件 上 传 漏 洞 和 文 件 包 含 漏 洞 , 探 讨 研 究 了 上 述 漏 洞 的 攻 击 原 理 、攻 击 类 型 、 攻 击 过 程 以 及 检 测 方 法 等 , 在 此 基 础 上 提 出 了 对 其 的 防 护 措 施 和 解 决方案;然后设计一个 Web 应用系统来演示各模块存在的潜在漏洞,并针对其

6、提出相应的防护措施将漏洞去除,从而提高了 Web 应用程序的安全性;最后对本文进行了总结并提出下一步的工作。关键词:Web 应用Web 攻击 安全漏洞 安全对策Abstract With the rapid development of computer network, Web application system has been widely used in Electronic Government and Electronic Commerce, and consequently the amount of the attacks of Hackers to Web applicat

7、ion vulnerabilities has increased dramatically. How to reduce Web application vulnerabilities and construct a Web application system with complete functions has become an important subjectFirst, this paper analyzes the severe situation of Web application security, follows the current status of Web a

8、pplication security both domestically and abroad, proposes the concept of Web application vulnerability, and researches on its classificationSecond, this paper analyzes the common vulnerabilities of Web application program deeply, which includes: SQL injection, cross site scripts, cross site request

9、 forgery, denial of service , buffer overflow, session attack, directory traversal vulnerability, file upload vulnerability and file include vulnerability; discusses the principles, types, processes and testing methods of the attacks presented above; proposes a safety precaution measure and solution

10、. Third, this paper designs Web application system to demonstrate the latent loopholes existing in every module, and proposes a safety precaution measure to eliminate the loopholes which improve the safety of Web application program. Finally, the summary of this paper is stated and future work prese

11、nted Keywords: Web application Web attack security vulnerability security countermeasure目 录 目 录 第一章 绪论1 1.1 研究背景1 1.2 研究意义2 1.3 研究内容2 1.4 本文组织结构 3 1.5 本章小节3 第二章 Web 应用安全概述. 5 2.1 Web 应用安全现状 5 2.2 Web 应用基础6 2.2.1 Web 应用架构 6 2.2.2 Web 工作方式 7 2.2.3 HTTP 协议知识. 8 2.3 漏洞概述9 2.3.1 漏洞的概念9 2.3.2 漏洞产生的原因 9 2.

12、3.3 漏洞的特点 10 2.4 Web 应用漏洞基础. 10 2.4.1 Web 应用漏洞概念10 2.4.2 Web 应用漏洞分类10 2.5 本章小节 11 第三章 SQL 注入和 XSS 攻击 13 3.1 SQL 注入漏洞 13 3.1.1 SQL 注入漏洞的 基本概念13 3.1.2 SQL 注入漏洞的 攻击原理13 3.1.3 SQL 注入漏洞的 攻击过程14 3.1.4 SQL 注入漏洞的 攻击类型14 3.1.5 SQL 注入漏洞的 危害. 17 3.1.6 SQL 注入漏洞的 检测方法18 3.1.7 SQL 注入漏洞的 防御措施19 3.2 XSS 攻击 20 3.2.1

13、 XSS 攻击的基本概念20 3.2.2 XSS 攻击的基本原理20目 录 3.2.3 XSS 攻击的实现过程. 21 3.2.4 XSS 攻击的基本类型. 22 3.2.5 XSS 攻击的危害 25 3.2.6 XSS 攻击的检测方法. 26 3.2.7 XSS 攻击的防御措施. 26 3.3 本章小结 27 第四章 其它 Web 应用程序漏洞研究 29 4.1 CSRF 漏洞 29 4.1.1 CSRF 的基本概念. 29 4.1.2 CSRF 攻击的原理. 29 4.1.3 CSRF 攻击的防御. 31 4.2 DDoS 攻击 32 4.2.1 DDoS 攻击基本概念 32 4.2.2

14、DDoS 攻击的基本原理32 4.2.3 DDoS 攻击的典型过程33 4.2.4 DDoS 攻击的检测. 34 4.2.5 DDoS 攻击的防御. 35 4.3 缓冲区溢出攻击 36 4.3.1 缓冲区溢出攻击的基本概念36 4.3.2 缓冲区溢出攻击的 原理. 36 4.3.3 缓冲区溢出攻击的实现过程37 4.3.4 缓冲区溢出攻击的防御. 38 4.4 基于会话状态的攻击. 39 4.4.1 会话攻击的基本概念39 4.4.2 会话攻击的原理. 39 4.4.3 会话攻击的类型. 40 4.4.4 会话状态攻击的防御42 4.5 目录遍历漏洞. 42 4.5.1 目录遍历漏洞的原理42

15、 4.5.2 目录遍历漏洞的防御43 4.6 文件上传漏洞. 43 4.6.1 文件上传漏洞的原理43 4.6.2 文件上传漏洞的防御44 4.7 文件包含漏洞. 44 4.7.1 文件包含漏洞的原理44目 录 4.7.2 文件包含漏洞的防御45 4.8 本章小结 45 第五章 Web 安全演示系统47 5.1 系统简介 47 5.2 系统漏洞分析. 48 5.2.1 SQL 注入漏洞. 48 5.2.2 XSS 漏洞. 52 5.2.3 CSRF 漏洞. 54 5.2.4 缓冲区溢出 55 5.2.5 会话劫持攻击55 5.2.6 文件上传漏洞57 5.2.7 文件包含漏洞58 5.3 本章小结 59 第六章 总结和展望 61 6.1 本文工作总结. 61 6.2 今后的工作61 致谢. 63 参考文献65 硕士期间研究成果. 69 第一章 绪论 1 第 一章 绪论 1.1 研究背景 随着 Internet 的迅猛发 展,网络越来越深入人们的生活中,基于 Web 的应用系统 被 广 泛

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号