本文关于网站及口令及账户方面的免费优秀学术论文范文,关于网站类论文范文素材,与校园网中Web网站的安全防护相关硕士毕业论文范文,对不知道怎么写网站论文范文课题研究的大学硕士、本科毕业论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。
[摘 要 ] 本文主要讲述Web网站如何防范目录遍历攻击、SQL注入攻击、跨站脚本攻击和篡改隐藏域攻击等的方法,以及如何减少Web网站的受攻击面.
[关 键 词 ] Web网站安全;不安全登录机制;目录遍历攻击;安全配置
[中图分类号]G434 [文献标识码]B [文章编号]1673-7210(2007)12(c)-191-02
Security of Web site in campus work
GONG Qing-yue
(Nanjing University of Traditional Chinese Medicine,Nanjing 210046,China)
[Abstract] This thesis focus on web security and countermeasures against unsecured login system, directory traversal attack, SQL injection, hidden field manipulation and cross-site scripting.
[Key words] Web security;Unsecured login system;Directory traversal attack; Security Configuration
目前,校园网内的服务器星罗棋布,它们支撑着各种各样的信息服务,如校园新闻的发布、校务信息的公开、学生成绩的登录和查询、工资查询、科研经费查询、各门课程教学资源的共享等.在多种特定角色服务器(如FTP服务器、DNS服务器、Web服务器)中,又数Web服务器最易受到来自网络的攻击,这些攻击可能来自校园网内部,也可能来自外部互联网.黑客一旦成功入侵Web服务器,就会窃取一些机密或敏感的信息,停掉或启用Web服务器上一些服务或应用程序,停掉Web服务器上的日记或其他安全控制,执行缓冲区溢出攻击,加载其他类型的Dos(拒绝服务)攻击,上传证明自己入侵成功的文件或将Web服务器作为攻击其他计算机系统的跳板等[1].如何有效地保护Web服务器上信息的安全性和服务的可用性是目前迫切需要重视的问题.
1.Web网站面临的主要攻击类型和防护方法
Web网站上往往有些信息不是人人都可以访问的,只有被授权的用户使用自己正确的账户名和密码登录后才能访问.黑客为了非法访问这些信息资源,常常利用网站的一些漏洞或弱点实施攻击.这些漏洞或弱点有的是IT管理人员配置服务器不当造成的,有的是网页编程人员缺乏安全经验和考虑不周造成的.
下面针对Web网站目前面临的一些主要攻击类型,讨论如何采取切实有效的方法来堵塞或修补Web网站的漏洞和弱点:
1.1网站登录的安全性
1.1.1检查网站不安全的登录机制在网站的登录页面进行三种登录测试:使用一无效用户账户和有效口令测试;使用一有效用户账户和无效口令测试;使用一无效用户账户和无效口令测试.输入这些测试信息后,网站应用程序的响应信息可能是“你的用户账户无效”或“你的口令不正确”.根据应用程序的这些错误信息可以知道:哪个参数是无效的,哪个是有效的.如果恶意攻击者知道了账户是对的或口令是对的,那么他们的工作量就减少了一半,如果他们知道了一个正确的用户名,就可简单地写出一个脚本或用现成的攻击工具来自动进行口令的破解.如工具Brutus[2]可使用字典式攻击或蛮力攻击来破解http表单认证机制.
有关论文范文主题研究: | 关于网站的论文例文 | 大学生适用: | 自考论文、在职研究生论文 |
---|---|---|---|
相关参考文献下载数量: | 18 | 写作解决问题: | 毕业论文怎么写 |
毕业论文开题报告: | 论文模板、论文前言 | 职称论文适用: | 论文发表、中级职称 |
所属大学生专业类别: | 毕业论文怎么写 | 论文题目推荐度: | 优质选题 |
1.1.2改进网站登录机制安全性的方法包括:①返回给终端用户的错误提示越通用越好,例如:“你的ID和口令不匹配!”②网站应用程序不应在URL中针对无效的用户账户或口令返回不同的错误信息,如果必须在URL中返回信息,可用类似于“.省略/login.cgisuccess等于false”的方法,使得黑客不知是账户错还是口令错.③在网站上应用入侵锁定机制,在10~15次不成功登录后锁定账户.在Windows中,如果将“账户锁定时间”值设置为 0,则账户将保持锁定直到管理员将其解除锁定,有时这种手动解除锁定的方法不一定合适,例如攻击者可能会对许多账户进行恶意登录尝试,致使大量账户被锁定,如果都需管理员来逐一解开锁定,工作量将非常大,因此最好将账户锁定时间配置为较合理的时间值(如15 min),过了这段时间,系统自动解除锁定,用户可再重新登录[3].当然账户锁定时间值最好事先让合法用户知道.
1.2目录遍历攻击的防范
1.2.1目录遍历攻击黑客可通过“..”进行目录遍历攻击,访问网站上一些受控的资源,如:口令文件,配置文件、数据库或其他攻击者感兴趣的文件.网站内或网站外的信息都有可能被偷看.黑客甚至还可以在服务器上写入文件和执行命令.例如:Cmd.exe 文件位于“
1.2.2对付目录遍历攻击的方法包括:①敏感的、旧的或其他不宜公开的文件不放在网站服务器上.②配置网站服务器root目录中的robots.txt文件,阻止搜索引擎(如google)检索网站的敏感区域,如不允许搜索引擎访问cgi、private或temporary等目录.③如果网站内容位于一个单独的磁盘卷上,目录遍历攻击将无法成功.这样还使得备份和还原之类的管理任务变得更加轻松,同时也减少了系统卷上的磁盘争用情况,从而提高了总体磁盘的访问性能.
1.3网站输入型攻击的防范
1.3.1 SQL注入攻击SQL注入攻击是在网页的表单输入区插入一些特殊的符号和指令,使得口令验证功能失效.下面将通过两个实例说明这种攻击的方法:
假如一个登录网页中有下面这样一条SQL查询语句:
SELECT id FROM user WHERE u_name 等于 ‘$username’ and p_word 等于 ‘$password’
黑客可在用户名的输入框中输入:Ann’;#
而在口令输入框中随意输入任意一些字符,如:anything,这些输入被提交后,下面的SQL语句将被服务器执行:
SELECT id from user WHERE u_name 等于 ‘Ann’,#’AND p_word 等于‘anything’,
而在Perl (或 PHP)语言中,会将“#”符号后的内容作为注释,所以实际执行的SQL语句变成下面的样子:
SELECT id from user WHERE u_name 等于 ‘Ann’,
这样黑客就不需知道用户口令,轻易获得了像合法用户一样的访问权限.
黑客也可在用户名的输入框中输入:Ann
而在口令输入框中输入:anything’ OR ’x’等于’x
则下面的SQL查询语句将被执行:
SELECT id FROM user WHERE u_name等于‘Ann’ AND p_word等于‘anything’OR ‘x’等于‘x’,
因为 ‘x’等于‘x’条件总是真值,所以“p_word等于‘anything’OR ‘x’等于‘x’”子句也总是真值,这样黑客同样不需知道Ann的口令,就获得了和Ann一样的权限.
这种SQL注入攻击可导致非法建立、读取、篡改或删除数据,完全入侵数据库系统或数据库周边系统.
防止SQL注入攻击的方法是在编写网页程序时,对用户的输入进行有效性校验,检测用户有无输入单引号(’)、双重破折号(―)、井号(#)和分号(;)等特殊字符,如果有,则视为无效输入.
1.3.2跨站脚本攻击(XSS)SQL注入攻击的对象是服务器,而XSS攻击则往往发生在用户端.XSS的攻击者使用JavaScript恶意代码控制用户所用的机器执行非用户选择的命令.XSS是危害较大且较多见的网站应用安全问题,可导致钓鱼式攻击,还可改变网站的内容(如在网页中插入敌对的内容).我们可使用下面的方法来测试网站应用程序是否存在跨站脚本弱点.
在网站任何一处允许用户输入信息的地方(如登录框)输入以下信息:
如果Windows出现弹出框,内容为“你被跨站攻击了!”,则说明此网站应用程序存在跨站脚本弱点.
防范XSS的方法是在网站应用程序中具有能检查