基于反向代理的Web应用安全解决方案的设计与实现.pdf

西南交通大学
硕士学位论文
基于反向代理的Web应用安全解决方案的设计与实现
姓名:毛武
申请学位级别:硕士
专业:信息安全
指导教师:彭代渊
20100601
摘要西南交通大学硕士研究生学位论文第随着网络与信息技术的发展,尤其是互联网的广泛普及与应用,以魑S用平台的网上业务,如电子政务、电子商务、网络办公以及虚拟社区不断增加。随之而来的τ玫陌踩侍庖苍嚼丛窖现兀绾伪V应用的正常运行,也成为当前日益重要、必须解决的问题。传统的网络安全设备对于τ玫墓セ鞣婪叮饔檬钟邢蕖D壳暗拇蠖嗍防火墙都是工作在网络层,所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的,这就促使了τ梅阑鹎胶推渌囊恍┙,通过在甐设备的反向代理功能上添加新的τ霉セ检测模块,提高了甐环境下τ玫钟鵚攻击的能力。本文重点分析了三种常见的τ霉セ魇侄危篠注入,跨站脚本和会话冒用攻击。在探讨它们攻击原理与攻击技术的基础上,按照攻击对象将它们分类,对如何防范这些攻击有了很好的理解。随后分析了当前τ冒踩ń饩龇桨傅娜毕萦氩蛔悖并提出了一种基于反向代理的解决方案,从方案的总体设计、模块功能设计到具体的实现过程进行了详细的解释,最后测试了方案的检测能力及对甐设备性能的影响。实验表明,在一定程度上的性能损耗下,能对攻击进行有效的检测。与其他的解决方案相比,本方案具有易于部署、成本低、支持扔诺悖沂悄壳暗谝桓甐设备集成了τ梅阑鹎焦δ艿纳杓品桨负筒吩汀关键词:踩ǎ籗注入;跨站脚本;会话冒用
功西南交通大学硕士研究生学位论文第鷄,琧鷖篧:,甌瓵,.,瓵,,,;籹
指删币繇勘坩穗\冰年柏日冢#毛斌‘槐C苊钍褂帽臼谌ㄊ椤西南交通大学学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复印手段保存和汇编本学位论文。本学位论文属于C芸冢年解密后适用本授权书;朐谝陨戏娇蚰诖颉啊獭学位论文作者签名:日期:日期
孙耳学位论文作者签名:毛虱‘西南交通大学硕士学位论文主要工作毕声明蝗本人在学位论文中所做的主要工作或贡献如下:治隽巳殖<腤应用攻击手段:⑷耄缯窘疟竞突峄懊坝霉セ鳎探讨了它们的攻击原理与攻击技术,同时做了详细的攻击实验来加深对攻击的理解,之后分析了τ霉セ鞫訵应用系统各个组成部分的危害。攵缘鼻癢应用安全解决方案的缺陷与不足,本文提出了一种基于反向代理的解决方案,在璞傅姆聪虼砉δ苌咸砑恿诵碌腤应用攻击检测模块,对模块的功能设计和实现过程进行了详细的说明,最后对方案的功能和性能进行了测试。本人郑重声明:所呈交的学位论文,是在导师指导下独立进行研究工作所得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中作了明确说明。本人完全了解违反上述声明所引起的一切法律责任将由本人承担。日期:
第滦髀τ冒踩ǖ难芯勘尘坝胍庖西南交通大学硕士研究生学位论文第本章主要介绍了τ霉セ魅找嫱怀龅奈侍猓琖应用安全的国内外研究现状以及论文的工作安排。的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题一网络安全。网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙和入侵检测系统等网络安全设备。但是,在运用这些安全产品之后,网络攻击事件仍然层出不穷。从根本上说,新的攻击手段的迅速发展和对安全防范理解的误区造成了目前的问题。在网络出现的初期,网络应用十分简单,如琈群芏喽际羌虻サ协议,而且是“一次性”交互,只是简单的传递信息。但是在际醴伤俜展的今天,芄乖诔杀居胗τ媚芰Ψ矫娴挠攀疲沟迷嚼丛蕉嗟钠笠岛突构将应用从疭模型转变到疭模型,衿骱蚖应用已经从提供简单的静态页面服务演变到提供复杂的动态内容。翬务器和τ贸丝梢源建动态页面和启动应用程序外,还可以同衿鞴亓5暮筇ㄊ菘饨型信,来生成用户需要的数据。正因为这个原因,攻击者可采用⑷氲萕攻击手段入侵和控制瘢蟛糠值腤应用并没有采取专门有效的防护措施进行应对,这就导致越来越多的攻击者将目光投向τ煤蚖应用服务器。美国系统网络安全协会在年公布的网络安全攻击目标中,在服务器端威胁中,τ酶呔影袷住@醋酝缡澜的报导,年眨谥泄舐健⑾愀奂疤ㄍ宓厍惺蚋鐾驹庥鲂一轮⑷牍セ鳎⒁⒋蠊婺9衣怼T月之前的轮校延次大规模攻击,受害者包括某知名防病毒软件厂商网站、欧洲某政府网