課題二十八Web應用程序的安全網(wǎng)絡安全運行與維護課題SUBJECT信息教學任務：Web應用程序的安全知識目標：了解Web應用程序的安全威脅，熟悉Web應用程序的安全防范措施，理解SQL注入攻擊的原理，掌握SQL注入攻擊的防御能力目標：能夠進行SQL注入攻擊和防御攻擊重點：Web應用程序的安全防范措施難點：SQL注入攻擊教學方法：演示法、案例教學法、任務驅動法課堂類型：新授課教具：PC機、教學軟件Web應用程序的安全威脅及其防范SQL注入攻擊SQL注入攻擊的防御一、Web應用程序的安全威脅及其防范Web應用程序的安全防范措施在滿足需求的情況下，盡量使用靜態(tài)頁面代替動態(tài)頁面。動態(tài)Web站點盡量使用具有良好安全聲譽和穩(wěn)定技術支持力量的Web應用軟件包。對用戶輸入的數(shù)據(jù)進行嚴格驗證，對代碼進行安全檢測。操作后臺數(shù)據(jù)庫時，盡量采用視圖、存儲過程等技術。對Web應用程序的所有訪問請求進行日志記錄和安全審計。二、SQL注入攻擊SQL注入攻擊SQL注入（StructuredQueryLanguageInjection）利用Web應用程序數(shù)據(jù)層存在的輸入驗證不完善型安全漏洞實施的一類代碼注入攻擊技術。從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面沒什么區(qū)別，所以目前市面的防火墻都不會對SQL注入發(fā)出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發(fā)覺。SQL注入攻擊是攻擊者通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。二、SQL注入攻擊SQL注入攻擊的原理SQL注入的攻擊原理是向Web應用程序提供的用戶輸入接口（如一個動態(tài)頁面的輸入?yún)?shù)、表單的輸入框，等等）輸入一段精心構造的SQL查詢命令，攻擊和利用不完善的輸入驗證機制，使得注入代碼得以執(zhí)行完成非預期的攻擊操作行為。常見的SQL注入漏洞：一類是由于沒有對用戶輸入進行過濾以消除SQL語言中的字符串轉義字符另一類是由于不正確的類型處理，沒有對用戶輸入?yún)?shù)進行類型約束的檢查二、SQL注入攻擊SQL注入攻擊的過程二、SQL注入攻擊SQL注入演示實驗軟件工具：明小子注入工具 三、SQL注入攻擊的防御跨站腳本攻擊XSS工作原理：利用Web應用程序的漏洞，在Web頁面中插入惡意的HTML、JavaScript或其他惡意腳本。當用戶瀏覽該頁面時，客戶端瀏覽器就會解析和執(zhí)行這些代碼，從而造成客戶端用戶信息泄露、客戶端被滲透攻擊等后果?？缯灸_本攻擊的最終目標不是提供服務的Web應用程序，而是使用Web應用程序的用戶。三、SQL注入攻擊的防御跨站腳本攻擊演示實驗三、SQL注入攻擊的防御跨站腳本攻擊演示實驗小結SUMMARYWeb應用程序的安全威脅有哪些Web應用程序的安全防范