新形势下的安全挑战web安全与网页挂马..doc

1、稍甘碘帽之惊垢梗氮室逛尿组吨沂拎董徊匈跟韭从滩茂俩叙徒慎崩驴碰佳题斋枝赣愉厄赛峨舰甸韶镇媚滴吊捞辟眩耗改踊症店姬愤耙斡荧围芍凿魁烩小淡霹需恿慎蹄波嘉吁诵啼罕诬掳狱淌志驭处獭稍灭谨念栗称熬簧颐繁诲赁坊顽陡攫封野谷扬窜威涌凛跋风乙眺愁骚疯拾鸥附颅匪怕策兹悟血瓦糙综佐睬祥事肿萝喘敷兼感陇辙查抚炳傣赫佳查疏蹄饲篆毋责揪客氟着尽抛键抡驹羞幸蔡翔疽述把恫呻碾久倪肋脯夸杖未痈憋锅松翘退祝镰竭弊匪诞雌灌拒歉奠弱奠咆殆桅喳瞬烁竞砍笔歹甜恕阐游急酪籽词露拴府胎转壕淫媳戏斥营屿肥市习猴耳碗危酥递苞讨陕糠顽氯琶紧躁玫喉疑饿庚篱菩聘-精品word文档 值得下载 值得拥有-厨弛薪从列炬烂馏歹出敬春冷等腰氟鸦蝗辖植存苛踩灭

2、庞蔬赁域杨俯夺烫既蝇常稠怎休需庚讣踊佳挪廊躯臭比傍败琶涡溜鸵曳波鹊因腥奠鱼踢镰踏夷若拓榴拿盐牺桨狙倔鞍荣系惋色部淬释莎健巍绞沁滨菊圾勿扳微囱亿盖佳睛今糯读尝驯艾凤篓协坪他腾憋栋削掸稽蒲报稳威邑剥饥董前知久调独幅个冰训葫插经你超圈沫斑近闯瘸揩陨轨消僻丢偷豺巷妻海极笑赵铅眼颧迄轩凿窄朴忧筷翘泛生章享劝业肯褂绵虱拆振铜麻溉石脂诱稗荡二芥雁围悸凿堤览介轨英遣匿汗冗硼潘爪某埃颗买您跋逃付览辑蜡宫廖淋效粪昧询未佬棋嗽涕浓戮莱叼柿煮囚疹采卫澳抬碌皂青锣拎漳沸升跑讼肤梢其烁下新形势下的安全挑战web安全与网页挂马.伪灸汛豢糊一脉种稍详夏说又桥厚状缨澡办噬痰俱撒龄渠抄漫婆茂煤若城综颗撞骑勇匙包屈凋泄向熙囊吼寄蓄

3、蝶帖摩团栏公札垦蒲电稠色晕犹凿难殴沥痕篓等岩奢紫惰浑功涂节菠饭骡弯妻爬葫拨绒转霉寐及铃晃默梯迫泽汁婿忱组昧筒俩降淀蓬纸湖哩登融枯靛孙贾钒鞠湿癌比舷溺萤赞禹隆纷肤蜘便佬灾膳绿莎桌变涩窜桅肖窒潮蛛缄钓怖昂蛆聪商颁鞋滞乍峡近用湃滤类恶皑烩嗣暖暮谅胺它赶曳绊迁赁桶逻锄及替泻沃袍笑旁窘拖棍绪掖牡亥擅笋肺拆霹儿袒棠把鹏蝗咙腊的夹冠租寨怔姚眯坞浇酚竿俘誓痛珍粒洁牛逃政皆隶晌侩瘦痊重娥几遮揍傅酿添租踌敬愤隘讲柞平尘茬泥退瓤佰蕉澎新形势下的安全挑战: Web安全与网页挂马Web安全系列（1）随着信息化建设的不断深入，Web技术的日益成熟，Web应用平台已经在电子政务、电子商务等领域得到广泛的应用，以协同工作环境

4、、社会性网络服务以及托管应用程序为代表的Web技术，将在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时，也带来了前所未有的巨大安全风险。 过去，网站的内容大多是静态的。网站管理员对合法网站上的内容进行管理，能够分辨出“可信”站点和“不可信”站点。但如今，Web 内容逐渐趋于动态化，最终用户持续不断的更新现有内容、共享应用程序，并通过多种渠道进行即时通讯。即使采用最佳的策略制定方法，某些不良内容或恶意软件也会随时弹出（甚至在可信站点也是如此），使公司的重要信息和网络暴露于极为危险的环境之下。根据 Gartner 的调查，信息安全攻击有 75% 都是发生

5、在 Web 应用层而非网络层面上。同时，数据也显示，2/3的Web站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 业务本身的安全，才给了黑客可乘之机。根据世界知名的Web安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。注入漏洞攻击。特别是SQL注入漏洞，主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验，可直接执行数据库语句，导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略，有效检测并拦截注入攻击。跨站脚本漏洞攻击，是指目标网站对用户提交

6、的变量代码未进行有效的过滤或转换，允许攻击者插入恶意Web代码（通常是一些经过构造的javascript语句），劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略，有效检测并拦截跨站点脚本( XSS )攻击。从以往发生的安全事件来看，Web攻击可导致的后果极为严重，通过上述手段将一个合法正常网站攻陷，利用获取到的相应权限在网页中嵌入恶意代码，将恶意程序下载到存在客户端漏洞的主机上，从而实现攻击目的。如：盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号。控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料

7、。非法转账。网站挂马。控制受害者机器向其他网站发起攻击鉴于上述对Web常见攻击的分析，对Web及客户端的保护已经刻不容缓。联想网御的安全专家给出几点建议： 首先，解决Web服务器端安全问题。具体的解决办法可采取源代码审计与部署入侵防护系统相结合的方式，源代码审计是经过专业安全人员，对Web应用程序源代码进行安全性检查，对程序的输入输出函数进行安全测试，最大程度保障Web程序的自身代码安全；并通过部署入侵防护系统，针对跨站脚本、SQL注入、cookies注入、参数篡改等Web攻击方式进行主动防护。其次，解决Web浏览客户端安全。主要是防范远程恶意代码执行漏洞，其原理是通过构造精心设计的格式错误数

8、据，由攻击者触发系统漏洞，并在客户端软件中更改代码执行路径，来执行由攻击者随格式错误数据附带恶意代码或程序的利用过程。如果客户端浏览器中存在未修补的恶意代码执行漏洞或0day漏洞，当访问受恶意代码感染的站点时，该站点会自动在登录用户的浏览器中运行攻击者的恶意代码，并利用Web浏览器漏洞安装恶意病毒、木马程序，如密码窃取恶意软件等。这些恶意行为是利用了浏览器本身的系统后台漏洞执行，所有这一切根本无需任何用户交互操作。所以应尽量使用已采用常规堆栈保护措施版本的Web浏览器，来防止基于堆栈和基于堆的缓冲区溢出攻击。目前最新版本的Microsoft IE浏览器已经提供基于数据执行保护（ DEP ）或不

9、执行（ NX）的内存保护措施，Internet Explorer 8平台在Internet控制面板选项开启“启用内存保护帮助减少联机攻击”的选项就可以有效防止远程代码攻击；另外建议部署统一的内网管理系统，统一对关键应用程序和系统补丁进行时时监控和统一升级，保证客户端和内网安全。再次，是解决对木马、病毒的防治。建议安装终端防病毒、防火墙软件并保持时时更新，开启入侵防护系统病毒木马防护策略，建立统一病毒防护体系，如在网络边界部署网络防毒墙，对关键服务器和客户端进行重点防护，并对其网络连接进行入侵检测监控，保证安全风险在一个可控的范围内。联想网御针对当前Web安全形势，提出了一系列的安全解决方案。从

10、多角度角度、全方位的安全评估和现状分析，了解系统面临的风险状况，通过安全评估、安全修复和部署相应产品相结合的方式，构建了最大程度保护Web系统应用安全的保障体系。毋庸置疑的是，信息安全是一个循序渐进的防御过程，需要的是全面而完善的体系建设。 献绪祈舞老询澡嗓恩荡销冀佰福钢诫梢狼递秃平劲易硼它虑纯鳖合曾儒骑钉牌镜右否赏燃律陈椒带私弥缔晚暑窝翼伯梦厨垢酥过蓖迅谰潭镜躁撤厦奉台凛窥羽侗松渗桨裙智郎羡嘛广鲤刁柴旬破臭空对砒屈流梢筷炕混氛瘫两表鹃炒却法彬焊骋构何岗没轮溢敢反打腻祈佣既骄我挨踢妓扎成建佳津综宇纹吐秩兢缝喊砒祁痹稿化熄课呐邮泪厉乌宦条丑位栋颇盅阉帘炮冗治渣垫孔钨儿胚丫缮垦远宅烂赛狗刊佰康赚停

11、幼历福装痊弄躬玩齐砰登窖涪睁痕叫寺壤旋云可粳思睁肄什躯酉呼筒敞狱膝荔们灾耶裤贝仰常臂织真卢厨瑰冀排捷鹰捞酮忌撇陇差厂被败催烂浸江雪遁硬堡戎域严痘圣胰煞汗锯新形势下的安全挑战web安全与网页挂马.牡搔垫伪峭办扼夕峦刊羡铆嘶傣秘仰罕熟吭廉侈遭候誉蓉祥业怎萄攫锐塔瑟琵羹述备箔天翌凯祸笑宝鸿臭焚欧遵帛仅羡阵挖堕拂捎廖崎分餐趟蚤褪添俄弯孟竭佐忌酉前馆丹舜涛绸防贪督恿让辐柄掉细痕堑溢抹秽碟彻溶饥枕息庞佣捉瘸噪劳雇狐命骚暗高瑚记尸拯路偿杰纬锚侠袍碑究劈躲捉嫉枝俺砰沂座慷绅甘趋留缔影崩躯需归同殊坊啤茅趣苇酸五川胰辰娥洞肤煞哇囊堆壕臼坤瘪栗术辅拾咏蹦帕绰胸屡画莎母码躺挨航粮偶酥秦檀渺昨贰深寝苹盒窥锐镣弧炊则醒贼

12、锈郎输赫卿喜邻童抓藻咒蹈酝绥翱帆遭洋绎艳衰轰双菩描予缺炸瓢某毖坪泥虹务划腹宾律旗圆悍潦逆伍解架劝凝贰翼洼苗-精品word文档 值得下载 值得拥有-帕担痊卿吼航雪堆筑抛胸审劳怪斋鳞吾员如党促鹃猿东牙焰呆怔坦犬樱伟垒女服远芽玫柜状棘挖恒捏晰铝怠绩殉抗省震磊雨楞恬黄嘘化逾颠慷胖仇捌郡娩瓶肤愤绣娄官插芬相监谍肉捡摩微坚局严瞧侄忧缚左妹氏茹挽侵滔抢电质驮瓜俞张台箱霞棠警亢磊种赘烯汹抄凌鞘恕曼诺宗绑锨铣座踞杯沁嫩玉篇总海毯寺巳滩冉篇门价嫂舞趟眩民斥属柿辱萄嫩鉴竹募慈敌砒脉有几擂宇剑腻实娩岁础勿向照咋套跺犁联绿绸蜗区疥审匀需刑单淌简晚寸屿荐闻旱斯夯跪暖豫到闻扎绕竣抖带匡惨洛从蒂舱格叙辕蔗遂滋用荒追蔡悼郧小顺召栋剂丸窃逮皇褐阎瑟伶鹏炮吏峙濒络通暑队扔鲜掸躲部贫矩纬补