支持智能批阅的作业在线系统.doc
《支持智能批阅的作业在线系统.doc》由会员分享,可在线阅读,更多相关《支持智能批阅的作业在线系统.doc(52页珍藏版)》请在文库网上搜索。
1、意外的情况。能不能根据具体情况进行分析,构造巧妙的 SQL 语句,从而成功获取想要的数据。正因为越多越多的人都变成 Cracker,一夜之间上千个网站被不同程序的受到攻击也不是神话,我相信最好的保护自己的不受攻击的方式就是学会怎么攻击别人。本文从数据库本身存在 SQL 注入问题学会攻击和防守,同时也从用不同语言编写的 Web 程序出发,挖掘SQL Injection 技巧和方法。 81.2论文的研究背景黑客攻击事件数量的不断上升,蠕虫在 Intemet 上的泛滥,信息安全逐渐成为人们眼中的焦点。信息安全中的一个核心问题就是存在于计算机系统中的软件安全漏洞,恶意的攻击者可以利用这些安全漏洞提升权
2、限,访问未授权资源,甚至破坏敏感数据。2003 年 1 月,全球因特网遭受了过去 18 个月来最严重的攻击。我国互联网出现大面积网络流量异常、访问速度变慢的现象,情况严重的网络一度中断无法使用,不计其数的网民浏览网页和发送电子邮件出现困难,时间长达数小时。澳大利亚、美国、英国、韩国、泰国、日本、马来西亚、菲律宾、印度等全球范围的互联网络都受到不同程度的攻击。全球估计至少有 2.2 万个网络服务器遭到了病毒攻击,美国美洲银行称 1.3 万台自动取款机瘫痪此次攻击是利用 2002 年 7 月份公2布的微软 SQ 场 erverZ000 的一个系统漏洞,对网络上的 SQL 数据库进行攻击。连接在网络
3、上的被攻击的系统如同癌细胞那样不断蜕变,生成新的攻击向网络释放、扩散,从而逐步鲸吞、消耗网络资源,导致网络访问速度下降,甚至瘫痪。2003 年 8 月 11 日,利用 MS0326 漏洞的“冲击波”蠕虫病毒开始在全世界范围内爆发,造成巨大破坏。在国内,两天时间里就使数千个局域网陷于瘫痪状态,受害者中既包括几十人的小规模企业,也有电信、政府等大型事业单位。而且个人用户,尤其是使用宽带网的用户,也遭到了此病毒的攻击。在感染此病毒后,会造成系统反复重启、不能收发邮件、无法浏览网页等影响,导致无法正常工作,给企业和个人都造成了巨大的损失。根据 DHS 和 NISTll 对近十年软件安全漏洞进行的数据统
4、计,2006 年漏洞数已经超过了 8000 个,比 2005 年增长了约百分之六十,几乎是 2004 年的两倍。软件安全漏洞造成的重大损失以及还在不断增长的漏洞数量使人们已经开始深刻认识到软件安全的重要性。从上世纪 90 年代,信息安全学者,计算机安全研究人员就开始了对计算机安全漏洞的研究,最为人熟知的就是缓冲区溢出攻击漏洞。但研究的范围主要包括如何监测和防御恶意攻击者利用安全漏洞进行攻击,由此开发出来入侵检测系统(IDS)和入侵防御系统(IPS)等等商业产品,以及针对缓冲区溢出的堆和栈,不可执行堆栈等等技术。 61.2.1 SQL Injection的发展和现状从 2008 年 1 月发现,
5、这 5 个月里,有关部门监控下,发现此次爆发并不是第一起 SQL注入攻击。在过去的 4 个月中,早已有 3 次大规模攻击:1 月初,成千上万的网站,包括CA.com, 受到了 SQL 注入攻击(1,0001,000 页/天 );3 月中旬,包括 TrendMicro.jp 在内的网站受到了 SQL 注入攻击(1,0001,000 页/天);4 月中旬,包括英国政府,和联合国的网站都受到了 SQL 注入攻击(1,0001,000 页/天)。 13以下是此类攻击的流程1. 黑客运用搜索引擎寻找网页上的漏洞,并运用自动化工具攻击网络服务器。2. 一个字符串附加到在后台运行的 SQL 服务器中所有的文
6、本或可变长字符串列中。3.这个脚本与黑客所控制服务器连接。该服务器含有一些常用软件的利用代码,如 Microsoft MS06-014, 第三方软件漏洞,(Real Player, Global Link Lianzong, PPStorm Baofeng, Thunder Xunlei, Baidu Bar)。有的时候还有一些 0day 漏洞,比如 10 天前公布的 GlobalLink Lianzong 0day。34.当终端用户试图用 IE 浏览正常的网站时,由于这些网页都将从 SQL 服务器获取数据,这些数据同时包含了恶意脚本。而这些脚本会自动连接到黑客的网站。5.如果终端用户没有打补
7、丁,或尚未安装 Microsoft 或第三方软件的最新更新,那么他们的电脑就会被感染。IDG 新闻服务 2008 年 5 月 19 日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的 SQL 注入攻击。该攻击者并没有针对某个特定的漏洞,而是通过 SQL 注入引擎自动搜索使用 SQL 数据库的网站并进行攻击。他首先在目标网站上植入恶意代码,然后再通过浏览器感染浏览该网站的用户。关于这些恶意代码的细节以及相应的浏览器漏洞等相关信息还有待进一步确认。大规模的 SQL 注入攻击已经成为网络安全的一大隐患。早在今年一月份,就曾经有好几万的 PC 用户遭受到了这种攻击。不过当时主要针对的是微软的
8、 SQL Server 数据库。注: 事实上,在中国每天都有被攻击的网站,他们被感染上恶意代码,使其连向黑客控制的网站。根据我们来自中国 Blackhat 组织的消息,这些攻击者并没有暴露自己的身份。这种攻击的目的是攻击者想要建立一个超大的肉鸡网络,然后将其卖给其他人,从中谋取利益。SQL 攻击,越来越常见,我们为了保护自己就应该行动起来,学会怎么攻击。只有在原理掌握了,才能更好的保护自己。1.3论文的研究内容1.4论文的组织结构第一章 主要对安全背景介绍,并简单介绍当前 SQL 注入现状,同时对论文的的研究内容和组织结构做了说明。第二章 主要对安全漏洞进行多方面分类,并介绍通过使用手工方法和
9、工具方法检测漏洞。第三章 主要对 Oracle 和 SQLServe 数据库,分别从数据库架构、数据库 SQL 注入攻击、数据库安全建议。第四章 主要针对 ASP 和 PHP 语言开发的程序,SQL 注入详细分析和说明,并对反过滤技术进行总结。4第五章 主要对安全检测工具现状作了简要说明,并对 AppScan 检测工具的工作原理、工作流程、操作步骤等进行详图解说明。第六章 主要演示了通过 AppScan 工具检测出漏洞,然后演示对网站进行 SQL 注入的全过程。第七章 总结与展望第二章 软件安全漏洞与检测人们已经开始认识到软件安全的重要性,并且已有一些很好的实践。软件开发者必须关注由于设计不当
10、和实现软件时的不合理而引发的安全漏洞本身,综合利用各种手段和技术对软件进行漏洞检测,从问题的根源来提高软件安全,而不是等投入使用后,发现了漏洞再来修补。2.1 软件安全漏洞网络安全的核心目标是保障业务系统的可持续性和数据的安全性,而这两点的主要威胁来自于蠕虫的暴发、黑客的攻击、拒绝服务攻击、木马。蠕虫、黑客攻击问题都和漏洞紧密联系在一起,一旦有重大安全漏洞出现,整个互联网就会面临一次重大挑战。虽然传统木马和安全漏洞关系不大,但最近很多木马都巧妙的利用了 IE 的漏洞,让你在浏览网页时不知不觉的就中了招。安全漏洞的定义已经有很多了,我这里给出一个通俗的说法就是:能够被利用来干“原本以为”不能干的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 支持 智能 批阅 作业 在线 系统