学位论文 > 优秀研究生学位论文题录展示

基于ISAPI的网站注入攻击防范模型及应用

作 者: 凌云
导 师: 李景涛
学 校: 复旦大学
专 业: 软件工程
关键词: SQL注入攻击 ISAPI 攻击防范
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 26次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网时代的到来,大量企业单位、政府机关采用网站的方式对内对外发布信息、提供咨询、设置交易买卖。但是由于程序员的水平和经验各不相同,而且相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使得很多WEB应用程序存在安全隐患,非常容易遭到黑客的网站注入攻击。因此在如何利用信息化技术提升自身形象、方便企业运营的同时,减少网站漏洞防止黑客攻击是目前企业、政府都普遍关心的问题。本文提出一种基于ISAPI技术防注入攻击的防火墙模型,并实现和应用了该模型。主要工作包括:1.给出了目前常见的两种网站注入攻击方式:SQL注入攻击和跨站脚本攻击,介绍了目前网站常用的网站防范方法,分析了它们在实际使用中的缺点和不足。2.提出了基于ISAPI技术防注入攻击的防火墙模型,并详细阐述了该系统的设计目标、设计方案和开发过程。3.对该模型进行了可行性分析和系统需求分析,然后对具体模型进行设计。在模型设计部分,提出了防火墙系统的设计目标,确定了系统的解析模式、体系结构、流程的框架,对各功能模块进行了详细的设计,对安全策略的响应模式进行了分类和定义。4.在策略引擎设计部分,首先论述了安全策略的各项属性,然后介绍了安全策略的加载方式和调度方法,以及安全策略规则的提取方式。本文编程实现了该模型的防火墙,并在网站服务器上进行安装调试获得成功。在企业网络环境中,对防火墙进行了压力测试取得良好的效果。在实际使用中,因为该防火墙可以对IIS服务器上的所有网站进行统一保护,无需单独设置,所以在提高企业网站安全性的同时,大大降低了网站服务器的防御成本,对提高企业竞争力有着重要的意义。

全文目录


摘要  4-5
ABSTRACT  5-7
第一章 绪论  7-13
  1.1 互联网安全概述  7-10
  1.2 目前防范方式存在的问题  10-11
  1.3 本文章节安排  11-13
第二章 相关概念和理论  13-28
  2.1 网站系统结构介绍  13-17
    2.1.1 B/S架构简介  13-14
    2.1.2 ASP简介  14-15
    2.1.3 SQL简介  15-17
  2.2 网站注入攻击介绍  17-25
    2.2.1 注入攻击简介及分类  17-18
    2.2.2 SQL注入原理  18-21
    2.2.3 跨站注入简介  21-23
    2.2.4 注入攻击防御介绍  23-25
  2.3 ISAPI技术介绍  25-28
    2.3.1 ISAPI技术概述  25-26
    2.3.2 ISAPI分类  26
    2.3.3 ISAPI技术特点  26-28
第三章 基于ISAPI技术的防御模型  28-40
  3.1 模型设计思想  28-30
    3.1.1 用户具体安全需求  28-29
    3.1.2 采用ISAPI技术的优势  29-30
  3.2 ISAPI技术防御模型设计  30-36
    3.2.1 设计目标  30-32
    3.2.2 解析模式  32
    3.2.3 体系结构设计  32-33
    3.2.4 功能模块设计  33-35
    3.2.5 对浏览器的响应  35-36
  3.3 系统流程图  36-40
    3.3.1 体系结构  36-37
    3.3.2 系统流程  37-40
第四章 ISAPI防火墙的实现  40-51
  4.1 策略引擎的设计  40-42
    4.1.1 安全策略的属性  41
    4.1.2 安全策略的加载  41-42
    4.1.3 安全策略的调度  42
  4.2 安全策略规则收集  42-44
  4.3 编程实现  44-51
    4.3.1 使用ISAPI获取HTTP报文  44-45
    4.3.2 使用ISAPI处理HTTP报文  45-49
    4.3.3 使用ISAPI进行HTTP报文响应  49-51
第五章 功能测试和性能测试  51-60
  5.1 安装调试  51-54
  5.2 检测环境  54-55
  5.3 功能测试  55-58
  5.4 性能测试  58-60
第六章 总结  60-62
  6.1 工作总结  60
  6.2 不足和展望  60-62
参考文献  62-64
致谢  64-65

相似论文

  1. 双层防御SQL注入攻击的方法,TP393.08
  2. 基于JAVA EE的双主体教学支撑平台研究与实现,TP311.52
  3. SQL注入攻击防御方法研究,TP393.08
  4. 防SQL注入攻击中间件的设计与实现,TP311.52
  5. 针对Oracle数据库的SQL注入攻击的研究,TP311.13
  6. SQL注入与XSS攻击防范方法的研究以及防范模型的设计与实现,TP393.08
  7. 基于Web的网络智能教学系统设计与实现,TP311.52
  8. RFID系统环节的攻击与威胁的分析及解决方案的设计,TP391.44
  9. SQL注入攻击扫描分析工具的实现与攻击防范技术研究,TP393.08
  10. 物联网中基于RFID的系统安全技术研究与应用,TP391.44
  11. 基于Struts和Hibernate的购物系统后台及其安全的研究与实现,TP311.52
  12. 针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究,TP311.138
  13. 模型驱动的web应用SQL注入安全漏洞渗透测试研究,TP393.08
  14. 具备综合安全防范能力的网页防篡改软件的研究,TP311.52
  15. Web防入侵系统的设计与实现,TP393.08
  16. 部队网络身份鉴别系统的设计与实现,TP309
  17. 结合语义的统计机器学习方法在代码安全中应用研究,TP393.08
  18. 教育网站安全防范策略研究,TP393.08
  19. 基于源的DDoS攻击防范方法的研究,TP393.08
  20. 电子商务网站的研究与设计,TP393.092

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com