Web网站的安全代码设计

针对Web网站突出的安全问题,详细分析了当前对Web网站安全威胁最严重的3种网络攻击：SQL注入、跨站和跨站请求伪造的实现原理和常用攻击方法,并结合研究和实践提出了具体的防范算法：采用过滤用户提交Web请求中的非法字符串代码实现了SQL注入及跨站的防范算法,具体代码使用了JSP中的Servlet过滤器实现;采用伪随机数对用户端身份进行持续认证的方式实现了跨站请求伪造算法,     

Web应用中SQL注入攻击研究

SQL注入攻击是一种利用客户端用户提交数据构成查询语句而没有对潜在有害字符进行处理就在Web应用后台数据库中执行,从而产生与应用预期不同结果的一种攻击手段。在Internet或企业内部网络中,对Web应用中进行SQL注入攻击大量存在。这种攻击手段很容易被攻击者利用,但是只要对Web应用采取合理的安全防护措施就可以阻止SQL注入的发生或减少攻击造成的损失。     

Web系统安全问题与防护机制研究

文章分析了SQL注入、XSS,CSRF、文件上传漏洞等常见Web系统安全问题的攻击方式和原理,并给出了防护机制和解决方法,能有效提高Web系统运作时的安全性和鲁棒性。     

基于Web的电子政务安全防范

中国很多地区的电子政务系统存在各种各样的安全隐患,通过对某些地区的近百个电子政务系统的安全现状进行分析,文中从主机、应用程序、数据库3个层面的安全隐患问题提出相应的解决方法和策略。通过借鉴文中提出的针对防范常用攻击方法的代码层实现等方法,可以节省对系统的安全测评和整改所需的大量人力、物力和财力,对中国电子政务系统的安全性能有极大的提高,极大地保障了电子政务系统运作的可靠性和工作效率。     

Web应用的安全现状与防护技术研究

随着互联网技术的发展,Web技术得到了日益广泛的应用,越来越多基于Web应用的系统被部署在互联网上以提供各式各样的服务,由于互联网本身的开放性使其时刻面临着潜在恶意攻击,其安全性问题日益突出。在这样的背景下,进行Web应用安全现状与防护技术的研究具有很强的现实意义,为了提高Web安全性,建立健全Web防护体系,这里从客户端、服务器端和传输三方面对当今Web应用所面临的安全成胁进行了系统地分析,并针对各自面临的常见安全威胁提出了相应的安全防护方案和防护建议。     

基于Web管理的嵌入式防火墙设计

在简单的介绍了Linux下的netfilter/iptables防火墙机制的基础上,重点阐述了如何在PPC860开发板上实现一个独立的、可以通过Web方式管理的防火墙系统.在设计基于Web管理的嵌入式防火墙过程中,主要技术有:netfilter/iptables防火墙管理程序的移植;WBM的实现;嵌入式防火墙独立性设计等.测试结果证明:该嵌入式防火墙系统Web管理简单灵活.系统安全稳定.     

Web页面中SQL注入攻击过程及防御措施

Web页面中的SQL注入攻击是当前黑客最常用的攻击方法,现阐述了SQL注入攻击的定义,根据目前黑客对SQL注入攻击的现状,分析了注入式攻击和SQL注入的原理,对SQL注入攻击的完整过程作了全面剖析,然后针对大多数网站都存在着SQL注入漏洞等过滤和约束不严的问题,从网站管理员和Web应用开发者两个方面给出了防御SQL注入攻击的有效措施。     

浅析Web应用防火墙在虚拟化平台中的应用

黑龙江移动设计院为服务一线生产应用,研发各类平台工具,其中包括B/S架构模式的研发平台。目前院内多项平台使用Web端,且诸多核心业务架设在Web平台上。随着计算机技术的快速发展,Web应用的多样性和灵活性使其被攻击的方法也不断发生改变。现各大平台因Web系统被攻击而导致的安全事件时有发生。传统的网络安全设备只能防护较常规且低端的攻击。面对暴力破解、Web应用拒绝服务等大流量特征的攻击时,我们常常束手无策。因此,Web端的安全问题也是Web平台研发的关键技术之一。本文通过分析Web防火墙相关技术,以“基于虚拟化的CAD新设计平台”的Web端为例,深入研究Web攻击的相关方式,储备Web应用防火墙的相关技术,以保后续Web端研发的安全性。     

Web安全百问百答（3）

32.在Web威胁防御中防火墙的优点和不足答：防火墙可以过滤掉非业务端口的数据,防止非Web服务出现的漏洞,目前市场上可选择的防火墙品牌也较多。但对于目前大量出现在应用上的SQL注入和XSS漏洞,防火墙无法过滤,因而无法保护Web服务器所面临的应用层威胁。     

Web环境下SQL注入攻击的检测与防御

简要介绍了SQL注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上，建立了一个针对SQL注入攻击的检测／防御／备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等级恶意攻击，客户端的检查将自动做出反应；考虑到客户端检查有可能被有经验的攻击者绕开，特在服务器端设定二级检查。在文中还提出了对高等级恶意攻击的自动备案技术，并给出了相应代码。     

基于标识的SQL注入攻击防御方法

注入式漏洞已成为Web应用程序的首要安全风险,而由于SQL注入漏洞的广泛流行和Web应用程序数据库所包含的各种重要内容对攻击者的高吸引力,使得SQL注入攻击也成为了近年来最流行的入侵方式。基于标识的SQL注入攻击防御系统通过将处理后的SQL查询语句与对应的调用方法的堆栈地址相结合,生成对应的唯一标识符,并通过该标识符来判定SQL查询语句的合法性,将恶意SQL查询与合法SQL查询区分开来,有效保证了对大多数SQL注入攻击的防御。     

基于ASP的Web数据库应用设计与实现

新一代的开发动态交互网页技术(ASP)给Web开发者提供了一个灵活、易用的开发环境。本文介绍了用于创建动态Web页面的ASP技术的特点、对象以及实现方式,分析了利用ASP的ADO组件实现Web与数据库互连和处理数据库数据的具体方法。ADO与ASP结合,作用在服务器端,通过OLEDB提供者存取、操纵各种关系型及非关系型数据库,通过执行SQL命令,让用户在浏览器画面中输入、更新和删除站点服务器的数据库信息,并给出了实现数据库查询的实例。最后介绍了“同学录应用系统”的实现方法。     

Web应用的安全防护

对于Web应用来说,安全防护的作用在整个系统中正变得越来越重要,本文对Web应用层面所面临的威胁进行了分析,进一步对各种防护手段进行了研究。     

业务逻辑可重构Web应用的设计与实现

文章提出了一种业务逻辑可重构Web应用的架构模型。首先,将业务逻辑抽象为动作序列,并描述成脚本的形式。其次设计并实现了以环境对象(Env)为数据总线的系统架构,以适应脚本的执行需求,从实践上验证了业务逻辑重构性。     

IPSec VPN与防火墙协同工作的系统设计与实现

IPSec VPN和防火墙为网络的安全做出了重大贡献.采用IPSec VPN技术不仅可实现数据在公网中安全传输,还可在一定程度上保护内网安全;防火墙所完成的任务是保护网络不受非法的"入侵".当IPSec VPN与防火墙同时共存于同一系统中时需考虑两者的协同工作问题.文中提出了并实现了一种基于虚拟网卡技术的IPSec VPN系统.将虚拟网卡与IPSecVPN相结合的系统可有效实现IPSec VPN与内网防火墙协同工作.     

基于网络爬虫与页面代码行为的XSS漏洞动态检测方法

XSS漏洞是攻击Web应用程序、获取用户隐私数据的常见漏洞.传统的XSS漏洞检测工具并没有对AJAX Web应用程序进行针对性的检测,在检测精度方面与实际情况存在巨大差距.针对这种情况,对AJAX技术下XSS漏洞的特点进行了分析,提出了一种基于网络爬虫与页面代码行为的动态检测方法.实验结果表明,提出的方法在节省人力、时间成本与漏洞检测方面有较好的表现.     

Web应用中帮助功能的设计与实现

“帮助”是所有软件系统的重要功能。人们试图用各种各样的方法向用户提供帮助．以便使系统的学习和使用更加简单和方便。对于一些复杂的应用系统，特别是那些依赖于用户经验的系统。用户的经验知识能够为其他用户提供更有价值的帮助。在Web网络环境中，网络使得用户之间的互相帮助成为可能。文章分析了各种各样的帮助功能，以及帮助的实现过程。给出了Web环境中一种新颖的基于用户和计算机协作的智能帮助模型，最后在一个E-learning系统中进行了实验。     

分布式防火墙系统中主机防火墙的设计与实现

分布式防火墙是一种新型的防火墙体系结构,在克服了传统防火墙的许多缺点的同时又保留了许多优点。介绍了分布式防火墙的原理、体系结构。给出了主机防火墙的核心功能、主要模块和工作流程。     

基于AJAX的Web应用架构设计

AJAX(Asynchronous JavaScript XML)是一种新兴的Web表示层技术,利用他可以构建动态、快速和灵活的Web应用程序。AJAX可以消除传统HTTP通信模式中对表单的依赖,从而实现快速而轻量的异步通信。介绍了AJAX的实现原理与机制,阐述了如何利用AJAX技术来构建一个简单的框架以支持全新的Web应用,并利用该框架所构建的应用,实现了浏览器直接与后端服务的异步通信。