web系统的安全性分析.doc

对清远职业技术学院web系统的安全性分析 姓名：范志霖 专业：计算机网络技术 指导老师：黄华 摘要: 随着计算机网络和Internet的迅速普及，如今Web应用服务已经成为非常流行的网络服务，而且Web网站的内容已经涉及到现实世界的方方面面，因此Web网站已经成为互联网最重要的资源之一。与此的同时，Web网站也面临着巨大的安全威胁，各种各样的攻击方式，如SQL注入、上传漏洞、Cookies欺骗等，扰乱了无数正常网站的运行，给社会带来了巨大的经济损失和不利的政治影响。 该文介绍了作者利用各种入侵技术对清远职业技术学院现用的Web系统进行渗透测试并对此做出安全分析，说明了潜在的安全隐患，然后根据潜在的安全隐患制定相应的修复方案，避免发生更严重的非法入侵事件。 关键词：SQL注入,上传漏洞,网络安全,入侵分析,渗透测试 The Security Analysis of Qingyuan Polytechnic Colleges Web system Author:fan zhilin Major: Computer Network Technology Supervisor:Huang Hua Abstract With the rapid popularization of computer network and Internet, web application services has become a very popular network service and one of the most important resources in the internet. While its contents involve in all aspects of the real world, web application services face huge security threats, a variety of attacks, such as SQL injection、upload holes、Cookies deception. All of these disrupt the normal operation of numerous websites which bring large economic losses and adverse political effects. This paper introduces that the author use different kinds of invasive techniques to make the security analysis about Qingyuan Polytechnic College current Web system in order to find out its potential security risks. And then make the repair plan to avoid more serious illegal invasions. 前言 随着计算机网络和Internet的迅速普及，如今Web应用服务已经成为非常流行的网络服务，而且Web网站的内容已经涉及到现实世界的方方面面，例如在线购物、在线看病、金融服务、银行服务等等。但是近年来，网站被攻 击的事件不断发生，Web网站面临着前所未有的安全威胁，黑客的入侵、 病毒的蔓延扰乱了无数网站的正常运行。例如最近的全球最大的IT中文社区CSDN网站被黑客入侵，数据库被下载了，然后在网上公开了这份600万用户的明文密码的数据库，被无数的网友下载。此事之后，网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用明文密码，用户数据资料被放到网上公开下载新浪微博遭遇到首次跨站攻击蠕虫（CSRF）侵袭，微博用户中招后会自动向自己的粉丝发送含毒私信和微博，有人点击后会再次中毒，形成恶性循环。是经广东省人民政府批准、国家教育部备案的综合性公办高等院校在校生14000多人/ 作为学院的主站，其肯定是黑客首先入侵的目标，也是黑客最终入侵的目标，所以其安全性就非常非常的重要。 第一部分 信息收集 入侵首先得知道提供web服务器的网络操作系统，于是随便点一个新闻页，改下其中一个字母大小写，出现如下错误： Not Found The requested URL /Qingzhxw/2011-12-23/748.html was not found on this server. Apache/2.2