web技术与安全分析

2015年第6期信息通信2015(总第150期)INFORMATION & COMMUNICATIONS(Sum. No 150)web技术与安全分析洪永新(泉州师范学院,福建泉州362000)摘要:当今世界, Intermet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为便捷、有效的服务支持。这些web2.0在功能和性能上,都在不断的完善和提高,然而在非常重要的web安全上,却没有得到重视和投入。由于web2.0日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。关键词:web安全;技术安全分析中图分类号:TM76文献标识码:A文章编号: 1673-1131(2015 )06-0137-01从web1.0到web2.0时代，一个用户参与度于粘度都很高TAB页访问网站B;的web时代,且web2.0又细分出许多不同的领域(微博、旅游、(4)网站B接收到用户请求后,返回一些攻击性代码,并交友、餐饮、医疗、购物等)各种海量隐私数据可以在这些web2.0发出-一个请求要求访问第三方站点A;网站中找到。网站被攻击时获取各种隐私数据或者破坏数据，(5)浏览器在接收到这些攻击性代码后,根据网站B的请盗取用户的个人资料比如银行账户信息、个人邮件数据等。因求，在用户不知情的情况下携带Cookie信息，向网站A发出此如何保证网络信息安全已成为一个非常 重要的问题。请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网1同源策略同源策略是众多安全策略的一个,是web层面上的策略，站B的恶意代码被执行。非常重要,如果少了同源策略,就是等于楚汉两军没了楚河汉3.3 csrf 防御方案(1)检查HTTP Referer字段是否同域, -般情况下,用户界,这样天下就大乱了。同源策略规定:不同域的客户端的脚提交站内请求, Referer中的来源应该是站内地址。如果发现本在没有明确授权的情下,不能读取对方的资源。Referer中的地址异常,就可以怀疑遭到了csrf 的攻击。2跨站脚本攻击(2)限制Session Cookie的生命周期:比如,用户登录网上(1)跨站脚本是发生在目标网站中目标用户的浏览器层面银行，如果限制10分钟,超过10分钟则自动销毁Cookie.上，当用户浏览器渲染整个HTML文档的过程中出现了不被(3)使用验证码,虽然验证码的方式在一般情况下会降低预期的脚本指令并执行时，跨站就会发生。这句话的关键点用户体验的感受。但特定情况下,使用验证码方式是阻断csrf有以下三个。1.目标网站的目标用户。2、浏览器。3、不被预攻击的有效手段。期的:那么久很可能是攻击者在输入时提交了可控的脚本内(4)使用一次性token,这是当前csrf攻击中最流行的解决容，然后在输出后被浏览器解析执行。这个过程其实是包括方案，token是一段字母数字随机值,这样攻击者想要得到这个token就比较困难，csrf攻击就无法成功。xss漏洞挖掘与漏洞利用的，这两个同等重要。(2)反射Xss是XSS分类中最多的，他们原理是下面这样:4漏洞挖掘发现存在反射xss的URL--根据输 出点的环境构造XSS4.1请求中的玄机代码一-进行编码、缩短(可有可无，是为了增加迷惑性)-探子的目的有两个: 1、目标参数是否会现在相应HTML发送给受害人一-受害打开后， 执行XSS代码一一完成 hacker部分上,如果不出现,就完全没必要进行后续的payload请求想要的功能(获取cookies.url、浏览器信息、IP等等)。与分析。因为这些payload请求与分析可能进行多次，浪费请(3)由于很多地方都可能产生XSS漏洞，而且每个地方产求资源。2、 目标参数出现在HTML的哪个部分，从上面的分生漏洞的原因又各有不同,所以对于XSS的防御来说，我们需析我们已经知道，不同的HTML部分对待xss的机制是不一要在正确的地方做正确的事情，即根据不可信数据将要被放样,请求的payload当然也不一样。置到的地方进行相应的编码，比如放到