2015年第6期信息通信2015(總第150期)INFORMATION & COMMUNICATIONS(Sum. No 150)web技術(shù)與安全分析洪永新(泉州師范學(xué)院,福建泉州362000)摘要:當(dāng)今世界, Intermet(因特網(wǎng))已經(jīng)成為一個非常重要的基礎(chǔ)平臺,很多企業(yè)都將應(yīng)用架設(shè)在該平臺上,為客戶提供更為便捷、有效的服務(wù)支持。這些web2.0在功能和性能上,都在不斷的完善和提高,然而在非常重要的web安全上,卻沒有得到重視和投入。由于web2.0日趨成熟,黑客們也將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。關(guān)鍵詞:web安全;技術(shù)安全分析中圖分類號:TM76文獻標(biāo)識碼:A文章編號: 1673-1131(2015 )06-0137-01從web1.0到web2.0時代，一個用戶參與度于粘度都很高TAB頁訪問網(wǎng)站B;的web時代,且web2.0又細(xì)分出許多不同的領(lǐng)域(微博、旅游、(4)網(wǎng)站B接收到用戶請求后,返回一些攻擊性代碼,并交友、餐飲、醫(yī)療、購物等)各種海量隱私數(shù)據(jù)可以在這些web2.0發(fā)出-一個請求要求訪問第三方站點A;網(wǎng)站中找到。網(wǎng)站被攻擊時獲取各種隱私數(shù)據(jù)或者破壞數(shù)據(jù)，(5)瀏覽器在接收到這些攻擊性代碼后,根據(jù)網(wǎng)站B的請盜取用戶的個人資料比如銀行賬戶信息、個人郵件數(shù)據(jù)等。因求，在用戶不知情的情況下攜帶Cookie信息，向網(wǎng)站A發(fā)出此如何保證網(wǎng)絡(luò)信息安全已成為一個非常 重要的問題。請求。網(wǎng)站A并不知道該請求其實是由B發(fā)起的，所以會根據(jù)用戶C的Cookie信息以C的權(quán)限處理該請求，導(dǎo)致來自網(wǎng)1同源策略同源策略是眾多安全策略的一個,是web層面上的策略，站B的惡意代碼被執(zhí)行。非常重要,如果少了同源策略,就是等于楚漢兩軍沒了楚河漢3.3 csrf 防御方案(1)檢查HTTP Referer字段是否同域, -般情況下,用戶界,這樣天下就大亂了。同源策略規(guī)定:不同域的客戶端的腳提交站內(nèi)請求, Referer中的來源應(yīng)該是站內(nèi)地址。如果發(fā)現(xiàn)本在沒有明確授權(quán)的情下,不能讀取對方的資源。Referer中的地址異常,就可以懷疑遭到了csrf 的攻擊。2跨站腳本攻擊(2)限制Session Cookie的生命周期:比如,用戶登錄網(wǎng)上(1)跨站腳本是發(fā)生在目標(biāo)網(wǎng)站中目標(biāo)用戶的瀏覽器層面銀行，如果限制10分鐘,超過10分鐘則自動銷毀Cookie.上，當(dāng)用戶瀏覽器渲染整個HTML文檔的過程中出現(xiàn)了不被(3)使用驗證碼,雖然驗證碼的方式在一般情況下會降低預(yù)期的腳本指令并執(zhí)行時，跨站就會發(fā)生。這句話的關(guān)鍵點用戶體驗的感受。但特定情況下,使用驗證碼方式是阻斷csrf有以下三個。1.目標(biāo)網(wǎng)站的目標(biāo)用戶。2、瀏覽器。3、不被預(yù)攻擊的有效手段。期的:那么久很可能是攻擊者在輸入時提交了可控的腳本內(nèi)(4)使用一次性token,這是當(dāng)前csrf攻擊中最流行的解決容，然后在輸出后被瀏覽器解析執(zhí)行。這個過程其實是包括方案，token是一段字母數(shù)字隨機值,這樣攻擊者想要得到這個token就比較困難，csrf攻擊就無法成功。xss漏洞挖掘與漏洞利用的，這兩個同等重要。(2)反射Xss是XSS分類中最多的，他們原理是下面這樣:4漏洞挖掘發(fā)現(xiàn)存在反射xss的URL--根據(jù)輸 出點的環(huán)境構(gòu)造XSS4.1請求中的玄機代碼一-進行編碼、縮短(可有可無，是為了增加迷惑性)-探子的目的有兩個: 1、目標(biāo)參數(shù)是否會現(xiàn)在相應(yīng)HTML發(fā)送給受害人一-受害打開后， 執(zhí)行XSS代碼一一完成 hacker部分上,如果不出現(xiàn),就完全沒必要進行后續(xù)的payload請求想要的功能(獲取cookies.url、瀏覽器信息、IP等等)。與分析。因為這些payload請求與分析可能進行多次，浪費請(3)由于很多地方都可能產(chǎn)生XSS漏洞，而且每個地方產(chǎn)求資源。2、 目標(biāo)參數(shù)出現(xiàn)在HTML的哪個部分，從上面的分生漏洞的原因又各有不同,所以對于XSS的防御來說，我們需析我們已經(jīng)知道，不同的HTML部分對待xss的機制是不一要在正確的地方做正確的事情，即根據(jù)不可信數(shù)據(jù)將要被放樣,請求的payload當(dāng)然也不一樣。置到的地方進行相應(yīng)的編碼，比如放到