开源Web应用安全项目( Open Web Application Security Project,OWASP)是个专注于讨论Web应用程序和代码开发安全与威胁的开放的社区组织。2010年,OWASP发布的(OWASPTop10安全报告》显示,2010年Web应用的前十大安全风险分别是注人式攻击、跨站点脚本攻击、错误的认证和会话管理、不安全的直接对象引用、跨站点伪造请求、不安全的配置管理、失败的URL访问限制、未验证的网址重定向和传递、不安全的加密存储和不安全的传输层保护。这些安全风险的存在极大地威胁着Web 应用的安全。
1.注入攻击
(1)注入攻击的概念和原理
注入漏洞是Web服务器中广泛存在的漏洞类型,其基本原理是Web程序对用户输人请求中包含的非法数据检查过滤不严,使Web程序将用户的异常输入字符当作正常代码执行,从而使用户在未授权的情况下非法获取Web服务器的信息。
利用注入漏洞发起的攻击称为注入攻击,它是Web安全领域最为常见威胁也是最大的攻击,注人攻击包括SQL注入、代码注入、命令注入、LDAP注入、XPath注入等。实现注入攻击要具备两个关键条件,第一是用户能够自主编写输人的数据,第二是Web程序的执行代码被拼接了用户输入的数据。实施注入攻击的关键在于掌握被注入的后台数据库系统的组织结构特性,确保注入数据被拼接后符合Web程序语法规范,成为可被正确执行的操作语句。
(2)SQL注人的原理
SQL注人攻击的原理是Web应用程序在接收到用户的请求参数后,如果没有对请求参数进行严格的过滤或检查,而直接将用户的请求参数作为拼接SQL语句的一部分进行解释执行,则攻击者就可以通过构造一小段SQL代码片段作为请求参数提交给Web应用程序,从而使这段SQL代码得到后台数据库程序的解释执行使攻击者实现查询操作后台数据库的攻击意图。
(3) SQL注入攻击的步骤
①首先需要判断Web网站是否可以进行SOL注入。如果访问的URL地址仅仅是对静态网页