云南地质协会、云南深浩贸易、云南国际旅行社
明白了SQL注入的原理和方法后,我们构造了一个网页,在页面里写入一个对其关键字段进行屏蔽、筛选的模块,并尽可能的拓展需要屏蔽的字段。当然在设计数据库的时候就改变了结构,避免了常用字段。
部分代码如下:
function ReplaceBadChar(strChar)
ReplaceBadChar=replace(replace(replace(replace(replace(replace(replace(strChar,\
ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\
ReplaceBadChar=LCase(ReplaceBadChar) if strChar=\
ReplaceBadChar=\
else
ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\
ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\
31
ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\
ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\ ReplaceBadChar=replace(ReplaceBadChar,\
end if
end function
6.5 DDOS 防御
DDOS简介
DDOS全名Distributed Denial of Service(分布式拒绝服务攻击),多台DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击可导致服务器甚至是整个网络的瘫痪,可直接造成经济损失,而且该攻击已成为互联网上最直接的竞争方式,收入颇高,已经拥有了很完善的产业链。
DDOS 攻击方法
搜集和了解被攻击目标情况,分析出主机数量、地址、配置、性能、带宽等情况。准备一定数量的傀儡机,并上传DDOS攻击程序。有了前面两步之后便可随时待命进行实际攻击。
云南民族团结教育网除了部署防火墙,检测站等方法,还需对以上安全隐患进行部署。
DDOS防御是一个大概念,在所有防御中,这个攻击不可能做到100%的防御,目前想要杜绝DDOS攻击还不可能,我们只能做出如下防范
32
1.采用高性能的服务器
2.采用专业DDOS防御的防火墙 3.增加该教育网的带宽
4.把简单的页面尽量写为静态网页
6.6 XSS 防御
XSS攻击简介
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS攻击方法
XSS攻击的原理就是在HTML中注入脚本,让正常的脚本反馈给用户非正常信息。通过对html与JavaScript的熟练掌握,在网页中可以输入的地方构造出可执行的脚本文件。
如:
img标记并不是真正地把图片给加入到Html文档把两者合二为一,而是通过src属性赋值。那么浏览器的任务就是解释这个img标记,访问src属性所赋的值中的URL地址并输出图片。而浏览器不会检测src属性所赋的值。即可以在这里构造脚本文件,把管理员引导向含有攻击性代码的网页中,从而获得管理员账号密码。
Javascript有一个URL伪协议,可以使用“javascript:”加上任意的javascript代码,当浏览器装载这样的URL时,便会执行其中的代码。于是攻击者在某表单可以提交内容,并且没有过滤字符的情况下,就可以通过提交参数实现XSS
运行这个代码后,页面将返回一个消息框,里面的内容就是攻击者构造的语句内容。
XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关
33
键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。
主要是有程序漏洞造成的,要完全防止XSS安全漏洞主要依靠程序员较高的编程能力和安全意识,当然一些编程安全原则可以帮助大大减少XSS 安全漏洞。
接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。采用POST 而非GET。
7 总结与展望
教育系统是一个庞大的系统,可根据实际需求不断完善,这个系统的工程量极大,在新闻发布系统中,仍有借助外部程序的地方,在以后的开发中还可以自行设计和开发一个功能完善,结构合理的网站文字排版工具,在此希望这个教育系统能为民族团结贡献出绵薄之力。
该教育网经过了长时间的设计与调试,终于进入了正常的运行阶段,在该阶段仍需要将用户使用过程中返回的一些问题进行整理,并对教育系统进行升级和改版,该系统的在未来的民族团结教育中将起到极大的作用。
致谢
感谢我的指导老师——赵艳芳老师,没有赵老师的悉心指导,我无法顺利完成这个系统,赵老师在整个指导过程中给予了我很多帮助,在创作上激发了我的新想法和灵感。
教育系统的完成,我需要感谢每一位数计学院的老师,这个系统的完成有你们辛勤努力的成果。在这我要说:“老师,您辛苦了,谢谢您的教导和帮助”!
也要感谢我们Born团队的成员,我们的美工师张云涛为整个系统进行页面设计,程序师马益为系统的调试付出了心血,在整个团队成长的过程中,从你们身上学到了不少东西。
衷心的感谢各位评审老师在百忙之中抽出宝贵时间来审阅我的论文,谢谢老
34
师!
参考文献
[1] 何国民 仲治国 著.ASP动态网站:68个典型模块精解[M].北京希望电子出版社
[2] 李超 著.第2版 (2007年9月1日).CSS网站布局实录[M].基于Web标准的网站设计指南(第2版). 科学出版社
[3] 李烨 著.别具光芒DIV+CSS网页布局与美化[M]. 人民邮电出版社
[4] 韦拉(Robert Vieria) 杨大川著. SQL Server 2008编程入门经典[M]. 2010年1月1日.译者孙皓,马煜.清华大学出版社
[5] 克拉克(Justin Clarke)著. SQL注入攻击与防御[M].译者黄晓磊 李化.清华大学出版社 [6] 郝永清著.黑客web脚本攻击与防御技术核心剖析[M].科学出版社
35