首頁(yè) > 論文下載
web技術(shù)與安全分析 web技術(shù)與安全分析

web技術(shù)與安全分析

  • 期刊名字:信息通信
  • 文件大?。?69kb
  • 論文作者:洪永新
  • 作者單位:泉州師范學(xué)院
  • 更新時(shí)間:2020-09-25
  • 下載次數:次
論文簡(jiǎn)介

2015年第6期信息通信2015(總第150期)INFORMATION & COMMUNICATIONS(Sum. No 150)web技術(shù)與安全分析洪永新(泉州師范學(xué)院,福建泉州362000)摘要:當今世界, Intermet(因特網(wǎng))已經(jīng)成為一個(gè)非常重要的基礎平臺,很多企業(yè)都將應用架設在該平臺上,為客戶(hù)提供更為便捷、有效的服務(wù)支持。這些web2.0在功能和性能上,都在不斷的完善和提高,然而在非常重要的web安全上,卻沒(méi)有得到重視和投入。由于web2.0日趨成熟,黑客們也將注意力從以往對網(wǎng)絡(luò )服務(wù)器的攻擊逐步轉移到了對Web應用的攻擊上。關(guān)鍵詞:web安全;技術(shù)安全分析中圖分類(lèi)號:TM76文獻標識碼:A文章編號: 1673-1131(2015 )06-0137-01從web1.0到web2.0時(shí)代,一個(gè)用戶(hù)參與度于粘度都很高TAB頁(yè)訪(fǎng)問(wèn)網(wǎng)站B;的web時(shí)代,且web2.0又細分出許多不同的領(lǐng)域(微博、旅游、(4)網(wǎng)站B接收到用戶(hù)請求后,返回一些攻擊性代碼,并交友、餐飲、醫療、購物等)各種海量隱私數據可以在這些web2.0發(fā)出-一個(gè)請求要求訪(fǎng)問(wèn)第三方站點(diǎn)A;網(wǎng)站中找到。網(wǎng)站被攻擊時(shí)獲取各種隱私數據或者破壞數據,(5)瀏覽器在接收到這些攻擊性代碼后,根據網(wǎng)站B的請盜取用戶(hù)的個(gè)人資料比如銀行賬戶(hù)信息、個(gè)人郵件數據等。因求,在用戶(hù)不知情的情況下攜帶Cookie信息,向網(wǎng)站A發(fā)出此如何保證網(wǎng)絡(luò )信息安全已成為一個(gè)非常 重要的問(wèn)題。請求。網(wǎng)站A并不知道該請求其實(shí)是由B發(fā)起的,所以會(huì )根據用戶(hù)C的Cookie信息以C的權限處理該請求,導致來(lái)自網(wǎng)1同源策略同源策略是眾多安全策略的一個(gè),是web層面上的策略,站B的惡意代碼被執行。非常重要,如果少了同源策略,就是等于楚漢兩軍沒(méi)了楚河漢3.3 csrf 防御方案(1)檢查HTTP Referer字段是否同域, -般情況下,用戶(hù)界,這樣天下就大亂了。同源策略規定:不同域的客戶(hù)端的腳提交站內請求, Referer中的來(lái)源應該是站內地址。如果發(fā)現本在沒(méi)有明確授權的情下,不能讀取對方的資源。Referer中的地址異常,就可以懷疑遭到了csrf 的攻擊。2跨站腳本攻擊(2)限制Session Cookie的生命周期:比如,用戶(hù)登錄網(wǎng)上(1)跨站腳本是發(fā)生在目標網(wǎng)站中目標用戶(hù)的瀏覽器層面銀行,如果限制10分鐘,超過(guò)10分鐘則自動(dòng)銷(xiāo)毀Cookie.上,當用戶(hù)瀏覽器渲染整個(gè)HTML文檔的過(guò)程中出現了不被(3)使用驗證碼,雖然驗證碼的方式在一般情況下會(huì )降低預期的腳本指令并執行時(shí),跨站就會(huì )發(fā)生。這句話(huà)的關(guān)鍵點(diǎn)用戶(hù)體驗的感受。但特定情況下,使用驗證碼方式是阻斷csrf有以下三個(gè)。1.目標網(wǎng)站的目標用戶(hù)。2、瀏覽器。3、不被預攻擊的有效手段。期的:那么久很可能是攻擊者在輸入時(shí)提交了可控的腳本內(4)使用一次性token,這是當前csrf攻擊中最流行的解決容,然后在輸出后被瀏覽器解析執行。這個(gè)過(guò)程其實(shí)是包括方案,token是一段字母數字隨機值,這樣攻擊者想要得到這個(gè)token就比較困難,csrf攻擊就無(wú)法成功。xss漏洞挖掘與漏洞利用的,這兩個(gè)同等重要。(2)反射Xss是XSS分類(lèi)中最多的,他們原理是下面這樣:4漏洞挖掘發(fā)現存在反射xss的URL--根據輸 出點(diǎn)的環(huán)境構造XSS4.1請求中的玄機代碼一-進(jìn)行編碼、縮短(可有可無(wú),是為了增加迷惑性)-探子的目的有兩個(gè): 1、目標參數是否會(huì )現在相應HTML發(fā)送給受害人一-受害打開(kāi)后, 執行XSS代碼一一完成 hacker部分上,如果不出現,就完全沒(méi)必要進(jìn)行后續的payload請求想要的功能(獲取cookies.url、瀏覽器信息、IP等等)。與分析。因為這些payload請求與分析可能進(jìn)行多次,浪費請(3)由于很多地方都可能產(chǎn)生XSS漏洞,而且每個(gè)地方產(chǎn)求資源。2、 目標參數出現在HTML的哪個(gè)部分,從上面的分生漏洞的原因又各有不同,所以對于XSS的防御來(lái)說(shuō),我們需析我們已經(jīng)知道,不同的HTML部分對待xss的機制是不一要在正確的地方做正確的事情,即根據不可信數據將要被放樣,請求的payload當然也不一樣。置到的地方進(jìn)行相應的編碼,比如放到

標簽之間的時(shí)候,4.2關(guān)于存儲行XSS挖掘需要進(jìn)行HTML編碼,放到
標簽屬性里的時(shí)候,需要進(jìn)存儲型xss和反射型xSs挖掘差不多,只不過(guò)這里一般行HTML屬性編碼,進(jìn)入css、javascript、url都要進(jìn)行編碼。是表單的提交,然后進(jìn)入服務(wù)器存儲中,最終會(huì )在某個(gè)頁(yè)面上3跨站請求偽造輸出。輸出在哪里有幾種情況: 1、 表單提交后跳轉到的頁(yè)面3.1跨站請求偽造對于剛接觸的人容易把他和跨站腳本混淆有可能是輸出點(diǎn)。2、 表單所在的頁(yè)面有可能就是輸出點(diǎn)。3、我們知道,攻擊的發(fā)生是由各種請求造成的,對于跨站請表單提交后不見(jiàn)了,然后就要整個(gè)網(wǎng)站去找目標輸出點(diǎn),這個(gè)求偽造來(lái)說(shuō),它的請求有兩個(gè)關(guān)鍵點(diǎn):跨站點(diǎn)的請求與請求是需要爬蟲(chóng)對網(wǎng)站進(jìn)行再次爬取分析。偽造的。從字面上看,跨站點(diǎn)請求的來(lái)源是其他站點(diǎn)。對于5結語(yǔ)網(wǎng)站安全是個(gè)大問(wèn)題,安全關(guān)注點(diǎn)也在逐漸轉移,大家的跨站腳本來(lái)說(shuō),發(fā)起的任何攻擊請求實(shí)際上都是目標網(wǎng)站同意思與防御層面也隨著(zhù)web安全的發(fā)展進(jìn)行著(zhù)。對網(wǎng)站來(lái)說(shuō),域內發(fā)出的,這是偽造,因為不是用戶(hù)意愿。重視某些安全風(fēng)險最好的方法就是將該風(fēng)險最大化,最終讓3.2CSRF攻擊原理(1)用戶(hù)C打開(kāi)瀏覽器,訪(fǎng)問(wèn)受信任網(wǎng)站A,輸入用戶(hù)名web更安全、更安全。和密碼請求登錄網(wǎng)站A;參考文獻:(2) 在用戶(hù)信息通過(guò)驗證后,網(wǎng)站A產(chǎn)生Cookie信息并返回[1] 鐘晨鳴中國煤化工子工業(yè)出版社,2014給瀏覽器,此時(shí)用戶(hù)登錄網(wǎng)站A成功,可以正常發(fā)送請求到網(wǎng)站A; [2] MichalYHCNMH G用安全指南[M.機(3)用戶(hù)未退出網(wǎng)站A之前,在同一瀏覽器中,打開(kāi)一個(gè)械工業(yè)出版社,201337PDF created with pdfFactory Pro trial version www.pdffactory.com

論文截圖
版權:如無(wú)特殊注明,文章轉載自網(wǎng)絡(luò ),侵權請聯(lián)系cnmhg168#163.com刪除!文件均為網(wǎng)友上傳,僅供研究和學(xué)習使用,務(wù)必24小時(shí)內刪除。
欧美AAAAAA级午夜福利_国产福利写真片视频在线_91香蕉国产观看免费人人_莉莉精品国产免费手机影院