常見 WEB攻擊方法及其安全防范策略的研究.pdf

1、WEB服務安全是信息安全研究領域的重點之一。在近幾年的信息安全領域中，WEB服務攻擊的次數(shù)或流量幾乎成幾何倍增長。而且攻擊WEB服務的范圍也越來越大，從最開始的一般的門戶網(wǎng)站到后來的金融服務或大型的電子商務平臺等都遭受了不同程度的攻擊。為應對這種WEB服務攻擊，企業(yè)或公司被迫采購相關的防火墻或者安全產(chǎn)品設備，但由于安防軟件或設備價格高昂，對有安全需求的公司或企業(yè)來說是他們無力承擔的，而且這種安全防護軟件或設備一般情況下需要廠商維護升級，

2、而客戶所擁有的權限有限，不能夠直接進行維護，通常情況下是在出現(xiàn)問題后才會有人處理?；谏鲜鰡栴}，該課題研究常見的WEB服務攻擊，并提供一些基本的集成解決方案。主要完成的工作有以下幾點：
　　首先，設計實驗環(huán)境。由于WEB服務攻擊的多樣性，而且每種攻擊的特性也各不相同，所需的研究或?qū)嶒灜h(huán)境也不同，因此，在課題的研究過程中，針對不同的WEB服務攻擊搭建不同的模擬實驗環(huán)境，供測試實驗。實驗的主要研究對象為XSS攻擊防護、Connecti

3、on Flood攻擊防護及SQL注入攻擊防護。
　　其次，根據(jù)不同的攻擊方式設計不同的防范策略。
　　1、提出新的解決方案應對XSS攻擊，主要針對原有或廠商提供的解決方案的缺陷進行完善，提高防護系統(tǒng)的可維護性，使得管理員能夠自己進行維護升級本地的敏感字符庫；設計中斷機制，先響應服務，再處理危險字符，并設計頁面標簽，防止字符回顯帶來的擴展攻擊。
　　2、針對Connection Flood攻擊提供一些輕型的解決方案，可供

4、WEB開發(fā)人員或者系統(tǒng)維護人員便捷的集成到系統(tǒng)當中，應對一般的 DDOS攻擊。根據(jù)Connection Flood的攻擊特性，設計具有針對性的防護方案，并實現(xiàn)主要的防護功能。
　　3、SQL注入攻擊在近些年中，對WEB服務的威脅尤為嚴重，在課題的研究中，設計SQL專用過濾字符功能函數(shù)，并給出具體的應用實例，研究中所涉及的主要內(nèi)容是完善SQL在執(zhí)行前的一些必要防護操作。
　　最后，實驗驗證策略的有效性。搭建模擬的WEB服務，將