web网络安全攻击与防护.doc

专科毕业设计（论文） 论文题目： Web网络安全攻击和防护 二级学院： 信息工程学院 专 业： 班 级： 姓 名： 学 号： 指导教师： 职 称： 2015年6月  摘要国内最大的互联网安全公司360发布《2014中国个人电脑上网安全报告》报告从恶意程序统计、挂马钓鱼形势、系统漏洞的安全防护等角度对去年中国国内个人电脑上网安全情况做了全面分析。报告还披露了2014年度国际国内发生的14起震惊中外的互联网安全事件，这些互联网安全事件中有5起主要发生在中国。 图2：2014年点奥病毒疫情各省高危人群比例图 正是因为如此，了解Web网络的攻击手段和一些必要的防护措施迫在眉睫。下面将会着重介绍以下当下流行的攻击手段和防护措施。 Web安全的未来发展 Web 原来被设想为通用的应用，它可以在任何地方运行的最低标准的应用，但是这样的应用它的功能就要被内容所限制了。 而App提供了另外一种替代的方法，也就是在后台执行代码、进行数据缓存供离线使用，采用推送通告等，这些都是网站无法做到的。 但是 Web 并没有坐以待毙，它也正在快速的变化来应对 app 的威胁。拥有 18 年Web经验的Haakenson专家认为，2015 年将会是有史以来 Web 发展最令人兴奋的一年，他预测了2015 年 Web的发展会有以下一些重要的趋势： 1、ServiceWorkers可以让网站安装JS的文件，JS文件会在一个独立于页面的环境下运行。这样的 javascript的脚本就可以提供跨页面的持续性，还可以来侦听页面的请求，然后在无需通过网络的情况下返回内容。这样一来，内容就可以在不需要在百分之百连接的情况下进行缓存、转换或者用有创意的新方式提供出来。 2、传感器访问能够赋予页面对用户环境的感知能力。一直以来，Web页面掌握的用户情况十分有限，通常只有用户的屏幕尺寸还有浏览器的类型等。但现在的各种标准把环境、光亮、摄像头等各种数据都提供出来了。这就使得网站可以在跳出页面之外掌握更为丰富的信息。 3、推送通告可以让网站与用户保持处于连接的状态，哪怕用户关闭了网站的浏览器标签页，也可以接受到网站的推送报告。 4、ServiceWorkers 与推送通告的结合也能产生非常重要的效应。推送未必就要把通告给用户，也可以是执行任意ServiceWorker代码。例如：某个你很感兴趣的节目又出新的内容了，这是就可以触发推送给某个ServiceWorker，让后者把内容预加载到缓冲，这样你坐车回家的时候就可以使用离线浏览了。 不过有人也许会对浏览器是否具备这种能力感到担忧。但是这种担心大可不必，这些功能的使用都需要经过权限检查，在使用的时候也会有可以见到的提示信号。比方说，用麦克风进行录音时，标签的图标上会显示录音的符号，这样用户可以知道也可以随时取消。 另一个重要趋势是 Web 的安全化。像推送这样的新功能过于强大，需要用 HTTPS来进行一个保护措施。HTTPS还可以防止恶意的植入代码，给网站和用户造成长期影响。 正如SANS研究员Ed Skoudis所说：“当一切不同的事物进入这个环境中，如果你不知道漏洞出现在哪里，那你便无法抵御它。”该论断对于Web安全同样适用，传统的Web威胁防御方式是基于对木马、病毒等安全威胁的认识经验而来，而新的威胁已经完全了解了这些传统的做法，攻击时根据实际情况改变策略，就可以轻松绕过防御，造成破坏。 特别是黑客对于安全漏洞的利用更加使Web安全威胁进入了一个新的阶段。仅仅在2014年，就出现了“心脏流血”漏洞、Bash漏洞等特大型漏洞，利用这些漏洞，黑客很有可能完全控制网站服务器等的目标系统。更可怕的是，这些漏洞在被发现之前都是远离安全研究人员视线，这些漏洞很有可能正在或者已经被黑客用来攻击目标系统。而且，地下黑客市场的兴起让黑客可以快速获取漏洞攻击套件，对用户造成重大的威胁。 越来越多的攻击案例证明，Web安全事故很有可能导致组织遭受重大的损失。在今年4月份法国电视5台遭受的重大网络攻击中，黑客袭击了法国电视5台的官方网站，导致大量电视台服务被中断，以及重要的网站内容被篡改成黑客声明，攻击波及人数高达两亿。有分析指出，黑客很有可能通过对未知网站漏洞的利用，或者对网站服务器的控制来实现攻击目标，这一事件给我们提了一个醒，让我们意识到对网站威胁进行监控、预警的重要性。 而在专家看来，Web安全并非只是对已知漏洞、脚本、木马的清除与防护，而是越来越多的指向对未知安全威胁方面的防范，以达