web应用中的攻击防御技术的研究与实现 the research and realization of the attack defense on the web application.pdfVIP

W eb应用中的攻击防御技术的研究与实现 俞小怡1，常艳2，许捍卫3 2．辽宁警官学校，辽宁大连116033； (1．大连理工大学图书馆，辽宁大连116024， 3．大连远东数码有限公司，辽宁大连116001) 摘 要：该文介绍了SQL注入式攻击、XSS跨站脚本攻击、会话劫持5种网络攻击手段的原理，并在此基础上重点论述了如何 防范这些攻击的方法。 无害化 关键词：SqL注入式攻击；XSS跨站脚本攻击；会话劫持；输入验证； AttackDefenseontheWeb THEResearchandRealizationofthe Application CHANG Han—wei3 YU×iao—yil， Yan2，×U of Po#ce f I．Da／／an Technology Academy；Dalian116055,P．毪．Clara； Univem／ty Library,DMian116024,Da／／aA,P，配，China；2，Ziaoning 5，Dal／an D／gitalCompany Yuandong L／m／ted,Dal／an116001．P．R．china) site attackandsession articleintroducesthe of Internet injection scripring hijack， Abstract：The principlegenerally attack—SQLattack，cross anddiscussesthedefense ways． Site words：SQLInjectionAttack；CrossScriptingAttack；XSS；SessionHUack；InputIdentify；Sanitize Key 随着宽带网络的普及，人们对数字资源和网上服务的 实例如下： 依赖日益加深，基于网络的商务运作、银证业务和政府公 务等已经成为我们生活中不可或缺的组成。享受网络时代 便捷服务的同时，潜在的威胁也不期而至。木马病毒、间 谍软件和电脑黑客伺机作案，个人信息被窃取、银行资金 被盗用等高科技犯罪案件不绝于耳。其中诱因之一是服 务主站提供的Web应用程序存在漏洞而被攻击者所利用。 图1SqL注入式攻击演示用登录画面 此登录画面上，通过显示表单让用户输入用户名和密 那么开发Web应用软件应该如何应对挑战，防患于未然 码，然后用这两项做关键字在数据库中查找，如果存在， 呢?本文就介绍几种Web应用程序最常见的漏洞及其预 防方法。 就认为登录成功。程序中使用下面的SQL语句来检索用 户表： 1 SOL注入式攻击(SQLInjectionAttack)SELECTUSER—NAMEFROMUSER—TBL WHEREUSER—ID=’$id’AND 1．1 SQL注入式攻击的定义 SQL注入式攻击是向系统中录入一些特殊的内