wwcismag58杨林杨鹏李长齐保山学院计算机科学系云南保山678000摘要Web技术在网络上的广泛应用使得Web网站系统时刻都在遭受着各种攻击与入侵网络上越来越泛滥的各种垃圾邮件、网络欺诈或诱骗钓鱼软件及盗号木马程序更加剧了网络用户在进行安全防护方面的困难Web应用安全面临的问题与挑战日益严峻。针对当前常见的SQL注入与溢出、ASP攻击与破坏列举Web应用程序不同的入侵漏洞及造成的危害程度详细分析了应用程序代码存在的不足及防范措施从代码设计上提出解决漏洞修补的安全技术与方法总结出一套完整的Web应用防攻击解决方案得出在Web应用漏洞方面防御时重点关注的几项关键内容确保整个网络应用服务系统的安全运行。关键词Web应用漏洞攻击防御解决方案TP393.1文献标识码A1009-8054201102-0058-03AnalysisandSolutionofWebApplicationLoopholesYANGLinYANGPengLIChang-qiDepartmentofComputerScienceBaoshanCollegeBaoshanYunnan678000ChinaAbstractWebtechnologyiswidelyusedonnetworkWebthusalwayssuffersfromavarietyofattacksandintrusionsandWebapplicationincreasinglyfacesserioussecurityproblemsandchallenges.InlightofSQLinjectionandoverflowASPattackanddestructionvariousintrusionloopholesofandtheirresultedharmsonWebapplicationarecitedshortcomingsoftheapplicationcodeandpreventivemeasuresareanalyzedindetailandthetechnologiesandmeasurestosolvetheseproblemsareproposedThusacompletesolutioninresistanceofattacksagainstWebapplicationandforensuringsafeoperationofthesystemisachieved.KeywordsWebapplicationloopholeattackdefensesolutionWeb应用漏洞分析及防御解决方案研究收稿日期2010-09-25作者简介杨林1972年生男硕士副教授研究方向计算机网络技术应用等杨鹏1968年生男本科工程师研究方向现代教育技术应用等李长齐1982年生男硕士助理讲师研究方向现代教育技术应用等。0引言随着互联网络的发展Web应用已经融入到网络中的各个方面。与此同时网络安全问题仍一直作为核心的焦点话题而存在。小至网络中的每台终端大至各类网络应用业务都或多或少地受到网络安全威胁。对于个人用户而言灰鸽子、熊猫烧香、冲击波对用户系统造成的破坏使得大家深刻地领会到了病毒攻击的威力。对于网络应用业务而言网络出口遭受分布式拒绝服务攻击DistributedDenialofserviceDDoS导致正常的Internet应用业务瘫痪、内部绝密文档信息或核心技术泄漏对外提供Web应用服务的服务器遭受攻击导致Web服务失效等1都直接或间接地造成了严重的影响。1Web应用攻击及常见漏洞Web应用指采用浏览器/服务器Browser/ServerB/S架构、通过超文本传输协议HyperTextTransferProtocol或以安全为目标的通道HypertextTransferProtocoloverSecureSocketLayerS协议提供访问的各种应用服务统称。在这些Web访问中大多数应用并不是静态的网页浏览而是涉及到服务器端的动态处理由此而产生的各种应用攻击问题层出不穷。同时由于JAVA、PHP与ASP等程序语言开发人员的安全意识不强对程序参数输入等检查不严格等导致了Web应用安全问题一直作为一个大问题存在2。Web应用攻击是攻击者通过浏览器或攻击工具在统一资源定位符Uniform/UniversalResourceLocatorURL中或其他输入区域如表单向Web服务器发送特殊请求从中发现Web应用程序存在的不同漏洞进而继续查看和修改未授权信息直至达到操纵和控制网站的目的。1.1信息泄露漏洞信息泄露漏洞由于Web服务器或应用程序没能正确处理一些外界提交的特殊请求导致泄露Web服务器上的一些敏感信学术研究AcademicResearch信息安全与通信保密·2011.259学术研究AcademicResearch息如用户名、密码、源代码、服务器信息和配置信息等。1.2目录遍历漏洞目录遍历漏洞是通过采用在URL中或在有特殊意义的目录中附加类似---本文于网络，仅供参考，勿照抄，如有侵权请联系删除---“../”、“.....