一、文献综述
(一)国内外研究现状
2007年1月初,熊猫烧香病毒席卷中国,变种数已达90多个,个人用户感染熊猫烧香的已经高达几百万,企业用户感染数还在继续上升,而其中不乏金融、税务、能源等关系到国计民生的重要单位,这对整个国家都造成了严重的危害。
2011年12月21日,黑客在网上公开了知名程序员网站CSDN的用户数据库,高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄,这不仅对个人也对企业造成了极大的危害,也因此成为中国互联网历史上一次具有深远意义的网络安全事故。
针对这一次次的网络安全事件,国家对于网络安全领域也是投入了大量的研究,习近平总书记也提出:网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。同时,也通过不断地完善法律来规范人们正确使用网络平台。
2014年4月7号,Heartbleed漏洞被安全公司Codenomicon和谷歌安全工程师发现,该漏洞会泄露使用者的用户名、密码等身份信息,造成重大的危害。Open SSL在实现TLS心跳逻辑时, 存在编码上的缺陷, 其心跳处理逻辑并没有检测心跳包中的数据长度是否和返还的数据长度相符合[1]。具体来说, 这一漏洞是由于在没有正确进行边界检查的前提下就执行memcpy () 函数调用受害用户输入内容作为长度参数所导致的[2]。对于这一次重大的网络安全威胁,全球各地的网络安全工程师也是立即做出来反应,来处理这一问题,意大利信息安全专家Filippo Valsorda率先开发出来了Heartbleed检测工具,以模拟OpenSSL Heartbleed漏洞的入侵方法,其开发出来的检测工具,只要输入网站的网址,便可以测试网站是否受Heartbleed漏洞影响。Google也是立即开发出了Chrombleed这一扩展工具来检测网站是否受到Heartbleed影响。
再看一些比较普遍的网络攻击,如XSS跨站攻击,这又主要分为两大类,一类是反射型XSS攻击,一类则是存储型XSS攻击。反射型XSS攻击,顾名思义,就是当用户在向浏览器输入内容时,若浏览器没有对输入的内容加以过滤,则此时就能够写入恶意代码让浏览器执行解析。而存储型XSS攻击,也称为持久型XSS攻击,这是一种危害性更大的XSS攻击。它是由攻击者直接向网站提供夹带脚本的内容(比如发表帖子),然后内容连同脚本被“持久化”地显示在正常网页中,当其他用户浏览该网页“看到”夹带的脚本,脚本就自动在该用户的环境下被执行。由于被夹带的脚本一般包含在HTMLlt;scriptgt;标签中,该标签不会直接显示在网页上,用户一般难以发现[3]。
同时,SQL注入攻击也是一种比较常见的web攻击。据统计,近5年来,SQL注入攻击在所有攻击中所占的比重从6.5%增加到了16%[4]。由此可见,很大一部分的web网页都没有对SQL注入进行一定的防范措施。对此,国内外也是对于SQL注入攻击进行了大量的研究,而研究则主要包括漏洞识别和检测以及攻击防御这两个方面。
在我们日常生活中,我们可以知道,文件的上传是一个我们在网络上经常使用的功能,例如发布照片,上传作业等都需要用到文件上传的功能。但如果web端没有对上传的文件进行过滤筛选,那么很有可能执行了含有恶意代码的文件。文件上传攻击的方式方法一般都比较类似,大致分为三个步骤,首先是上传包含恶意代码的文件到服务器,接着通过浏览器的元素探测功能,或通过网络抓包,探知上传的文件保存在Web服务器的具体位置,此处并不需要精确的绝对路径,只需要获得能直接访问到木马文件的URL地址即可进行下一步攻击[5]。常见的获取路径的方法也有下载已正常上传的文件,通过抓取数据包来确定服务器上存放上传文件的目录路径,再和木马文件的文件名组合出URL,即可进行下一步操作[6]。
(二)研究主要成果
课题毕业论文、文献综述、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
