2.1 WEB应用安全概述

　　WEB应用系统直接面向Internet，以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据某搜索网站统计，目前70%以上的攻击行为都基于WEB应用系统。WEB应用系统安全关系到整个网络站点甚至内部敏感信息安全。

　　目前，大多数WEB站点与学校内部数据管理应用结合在一起，特别是大部分学校对外服务网站都与其内网系统相关联，通过入侵WEB应用系统，以应用服务器为跳板实现对银行内部系统进一步入侵，由此引发的信息泄露，信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线，基于WEB应用系统的防护方法研究迫在眉睫。

　　2.2 WEB应用威胁

　　2.1.1 WEB应用威胁简介

　　2008年，国际信息安全权威组织OWASP提出，目前最具危害性，利用率最高的十大安全漏洞如下：

　　安恒根据长期针对网上银行业务系统的安全评估结果，就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上银行应用系统主要存在问题进行详细介绍。

　　2.1.2 SQL注入攻击

　　SQL注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断，将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

　　SQL注入攻击技术就本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL Injection攻击就发生了。

　　实际上，SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。

　　图一 SQL攻击实例

　　2.1.3 XSS跨站攻击

　　跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

　　跨站脚本漏洞攻击不是对服务器的实际攻击，而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时，嵌入其中WEB里面的HTML代码会被执行，从而达到恶意用户的特殊目的，如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。

　　XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞，面向客户端的攻击手段。

　　某著名大学XSS跨站演示

　　2.1.4 表单绕过攻击

　　WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息，然后该表单被发送到 Web 服务器进行处理。接下来，服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器，并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞，通过构造一些畸形的特殊提交语句，绕过表单安全认证的一种攻击手段。

　例1：某大学分析测试中心后台管理系统存在表单绕过漏洞，可直接获取后台管理权限。

　　　例2：某大学教务处后台管理系统存在表单绕过漏洞，可直接获取后台管理权限。