开题报告-面向php安全漏洞的web攻防技术研究.docx

开题报告-面向php安全漏洞的web攻防技术研究.docx毕业设计(论文)题目面向PIIP安全漏洞的Web攻防技术研究一、课题来源、研究的冃的和意义、,。,用户既是网站内容的浏览者,也是网站内容的制造者。所谓网站内容的制造者是说互联网上的每一个用户不再仅仅是互联网的读者,同时也成为互联网的作者;不再仅仅是在互联网上冲浪,同时也成为波浪制造者。在企业信息化的过程中,各种应用也都架设在Web平台上,Web业务的迅速发展引起了黑客们的强烈关注,接踵而至的便是Web安全威胁的凸显,黑客利用各种各样的Web应用程序漏洞来获得Web服务器的控制权限,轻则篡改网页内容,重则窃取重要数据,甚至在网页中植入恶意代码,使得网站访问者受到侵害。PHP(PHP:HypertextPreprocessor的缩写,中文名:“PHP:超文本预处理")是一种通用的开源脚本语言。PHP因为其开源、免费、快捷、跨平台、高效率等特性,在市场上占有着领导地位。然而,由于PHP对程序开发人员要求比较低以及PHPWeb应用程序开发人员的疏忽,可能导致所开发的PHPWeb应用程序存在大量的高风险漏洞,对Web应用程序的安全性造成了极大的威胁。正因如此,在本课题中将对PHPWeb应用程序中的常见安全漏洞进行分析和研究,并将给出相关的防御措施和安全的编码风格。二、 主要研究内容在本课题中,我们主要分析研究PHPWeb应用程序中的安全漏洞,如代码注入漏洞、SQL注入漏洞、跨站漏洞、上传漏洞等。针对PHPWeb漏洞的各种攻击,如命令注入攻击、SQL注入攻击、跨站脚本攻击、文件上传攻击等,我们将进一步研究其防范措施,以此总结出开发人员在开发Web应用程序吋,能够避免PHP安全漏洞的编程思路。PHPWeb常见的安全漏洞出现的原因主要有三种:Web应用程序在调用动态文件系统时,对用户输入没有做合理验证,例如include()或者fopen();PHP配置出现问题,例如默认开启allow_url_fopen等;对用户执行代码权限控制不足。PHP提供了大量方便Web应用程序开发人员使用的函数,然后这些函数在带来便利的同时也引入了新的风险。PHP程序中所有的参数输入点都可能导致攻击的发生,女0$_SERVER包含了诸如头信息、路径、以及脚本位置等信息的数组;$_GET通过URL参数传递给当前脚本呢的变量的数组;$_POST通过HTTPPOST方法传递给当前脚本的变量的数组;$_COOKIE通过HTTPCookies方法传递给当前脚本变量的数组。PHP通过以上四个参数输入点来获取参数值后,以此来进一步处理数据时都有可能会导致注入攻击的发生。三、 实验方案、实验方法及预期达到的目标本课题从总结常见PHP应用程序的漏洞开始,仔细研究PHP程序开发者在处理用户输入时是否进行了可靠严格的验证和对系统的输出有没有进行适当的转义。用户的输入永远是不可以盲目的相信,在没有进行验证前,都可以认为是攻击代码。系统的输出在没有适当转义前,也可能导致较大的风险。本课题从两方而入手,一是未对用户输入进行严格验证产生的安全漏洞及其防范;二是未对系统的输出进行适当转义产生的安全漏洞及其防范。第一方面,如果PHP程序开发者未对用户输入进行严格的验证,极其容易产生SQL注入