Web系统的攻击渗透

关键字： web系统 攻击渗透 安全防范

Abstract：With the development of the Internet,The target of malicious attacks gradually concentrated in the attack on the web site applications.Therefore, the study of web site security is much more important.Control the Web application security actually is a process which slow the Web application security risk.This process must follow the common principles of information security risk mitigation.So a good web security technology must beensure of the web development. This paper collect the information of the system attack infiltrate technology to know some web Prevention technology and its application.

Keywords : web system  attack infiltrate technology  web Prevention technology

在我国的互联网中,基于Web方式的渗透攻击从2003年左右的荫芽状态,经历了2004～2005年的发展期, 2006年至今已对普通互联网用户的网络隐私和虚拟资产利益构成严重侵害,对网站安全构成威胁。通过对渗透攻击技术机理和实现机制的分析,对渗透攻击安全监测技术展开了深入研究。

黑客攻击用户常见的方法包括恶意钓鱼攻击、网页挂马攻击、社会工程学攻击及渗透攻击等多种方式。黑客渗透攻击是指黑客针对特定目标实施的多方位的攻击。这种攻击方式具有很强的针对性，黑客可以花很长的时间对已经确定的目标进行信息的搜集和整理，并结合一切可以利用的攻击手段对目标实施攻击。黑客渗透攻击的目的相当明确，就是入侵并盗取目标环境中的敏感数据信息，如敏感数据、敏感文件等。

一攻击渗透

1 攻击渗透的威害

渗透攻击主要是利用客户端存在的系统层和应用层间的安全漏洞，以窃取网络虚拟资产为目的，造成网络访问速度慢、网站内容呗篡改、终端被黑、甚至成为肉机用来攻击别人。一些网站遭受攻击后不再被信任，同时也对普通用户的隐私和财产造成严重侵害。

2渗透攻击技术机理

常见的渗透攻击方式将渗透攻击伪装为页面元素,渗透攻击代码则会被浏览器自动下载到本地。利用脚本运行的漏洞下载、释放隐含在网页脚本中的渗透攻击代码。将渗透攻击伪装为缺失的组件,或和缺失的组件捆绑在一起。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。通过脚本运行调用某些com组件,利用其漏洞下载渗透攻击代码。在渲染页面内容的过程中利用格式溢出释放或下载渗透攻击。

3 渗透攻击的主要实现机制

渗透攻击主要分为3个阶段，我们分预攻击阶段、攻击阶段和后攻击阶段来讨论其主要机制。

3.1  预攻击阶段常见方式

黑客对攻击目标信息的收集可以通过多种方式实现，如通过查询域名的whois信息可以实现对域名注册人或组织的相关信息进行查看；通过对攻击目标进行端口或漏洞的扫描，可以实现确定目标主机开放的端口和服务，以及可能存在的漏洞情况；同样，结合搜索引擎查询结果，对相应的可被用来实施攻击的网页地址进行查阅。下面我们选取三个比较有代表性的方式进行描述。

 1.  whois信息查看

whois是用来查询域名对应的IP地址以及注册域名的组织或个人等信息的传输协议。也就是说，whois信息可以用来查询某一个域名是否被注册了，以及注册该域名的详细信息，包括域名所有人、域名所有人电子邮箱地址、域名注册商信息等。目前网络环境中有很多网站提供在线查询whois信息的功能，可以很方便实现对该信息的查看。

2. DNS域传送漏洞利用

DNS域传送漏洞是由于DNS服务器配置不当，导致黑客可以通过nslookup命令对相应的数据进行请求查询并获取相应的域名及对应IP信息的敏感数据，而这些信息都将成为黑客攻击阶段的主要攻击目标地址。

3. Web应用程序漏洞扫描

Web应用程序漏洞利用已经成为目前黑客渗透攻击最主流的攻击手段，在前几期中我们均有针对SQL注入漏洞、XSS跨站脚本攻击漏洞以及命令执行漏洞等常见的Web应用程序漏洞进行分析和介绍。在黑客对信息收集过程中，对Web应用程序漏洞的扫描也是预攻击计算中一个重要的步骤。尤其是目前网络环境中针对该种类型的扫描工具相当丰富，比较出名的工具像商业版的Acunetix Web Vulnerability Scanner、IBM公司的AppScan等，其他免费或开源的Web应用程序漏洞扫描工具更是数不胜数，而这些工具都可以通过傻瓜式的操作实现对目标Web应用程序的安全性进行扫描并给出扫描报告。

3．2  攻击阶段常见方式

攻击过程中，黑客结合预攻击阶段收集到的信息进行漏洞是否存在的验证，如果漏洞存在，那么黑客就可以利用漏洞获取一定的权限。根据黑客收集到的信息类别的不同，黑客也会相应地采取多种方式实现攻击。例如黑客通过whois信息查询以后，会结合信息中包含的域名注册人信息、电子邮箱信息、物理地址信息进行暴力破解密码或利用社会工程学攻击方式实现进一步攻击；通过对目标主机开放端口和漏洞扫描结果信息，可以尝试远程连接或溢出攻击测试；通过对Web应用程序安全漏洞的扫描，可以利用Web应用程序漏洞获取网站权限并获取webshell，并通过webshell进行更深层次的黑客攻击。下面我们选取三个比较有代表性的攻击方式进行描述：

1. 利用Web应用程序漏洞攻击

Web应用程序漏洞利用攻击是目前网络环境中黑客使用最多的攻击方式，由于该种利用方式漏洞类别较多并且攻击难度低的原因，导致该种利用方式被大量的黑客所掌握。更有甚者，即使在不了解技术细节的情况下，菜鸟黑客仍然可以借助网络上发布的黑客工具实现对目标网站的攻击。在前几期中，我们针对常见的Web应用程序漏洞进行了介绍，包括SQL注入攻击漏洞、XSS跨站脚本执行漏洞、上传漏洞、命令执行漏洞等，通过对这些漏洞的分析和描述我们了解到，借助这些常见的Web应用程序漏洞，黑客可以很容易获取网站的权限，甚至直接获取到系统权限。

2. 利用Web框架漏洞攻击

在目前Web应用开发过程中，使用MVC框架是一种很流行的做法。MVC框架将Web应用分成三个层次，其中View层负责用户浏览展示工作，Controller层负责Web应用的逻辑，它接收View层传入的请求，并将相应的请求转发给对应的Model进行处理，由Model层完成数据的处理。MVC框架通过切片和过滤等方式实现对数据进行全局处理，为Web应用的设计开发与安全提供了便利。但是Web应用框架本身也有存在漏洞的可能，网络环境中很多流行的Web应用开发框架就曾经出现过比较严重的漏洞，例如Struts2命令执行漏洞、Django命令执行漏洞以及Spring MVC命令执行漏洞等。黑客可以通过利用上述Web应用开发框架自身的漏洞，轻松实现命令执行的效果，进而获取较高的权限。

3. 服务器C段渗透攻击

服务器C端渗透攻击是指当目标服务器的安全性相对配置较严时，黑客很难通过目标服务器本身实现渗透攻击的目的，那么此时黑客可以尝试通过目标服务器IP地址所在的C段地址进行扫描渗透，攻击目标服务器所在局域网环境的其他主机，在获取权限以后，再通过ARP欺骗嗅探等方式对目标服务器进行攻击渗透，截取网络传输过程中相关的敏感数据信息，如FTP登录信息、远程终端账号连接信息等，进而实现对目标服务器的渗透攻击。

3.3  后攻击阶段常见方式

后攻击阶段是黑客利用攻击阶段所获取到的权限和数据信息将自己的攻击范围和战果进一步扩大的过程，同时黑客会结合多种手段隐藏自己入侵过程和操作的痕迹。后攻击阶段常见的黑客攻击方式包括内网渗透、权限提升、嗅探攻击、弱口令扫描以及安装后门等多种方式。下面结合三个具有代表性的攻击方法对后攻击阶段常见方式进行描述：

1. 内网渗透

内网渗透是指黑客通过访问的方式获取到了目标环境中对外提供服务的服务器权限以后，利用获取到权限继续对该服务器所在的局域网环境中的其他主机进行渗透攻击的过程。由于大多数企业和个人对待内安全水平的态度有较大的差异，往往将很多的精力都放在的安全上，而内网的安全却被忽视，导致已经公布很久的漏洞仍然没有修补或者针对内网主机的密码设置的复杂度也不是很高，这样黑客可以通过远程溢出或者弱口令扫描等方式来扩大攻击效果。

2. 提升权限

权限提升是指黑客在攻击阶段获取的权限大多数情况下是普通用户权限，而普通用户权可浏览和操作的范围相当有限，在获取某些数据时，会因为权限不足导致获取数据内容失败。因此需要在已经获取到的普通权限的基础上进一步提升操作权限到system权限才可以进行相应的操作。提升权限主要是利用目标主机环境中安装的软件或服务存在的权限实现的，如利用Serv-U FTP软件实现的权限提升、利用MSSQL/MySQL数据库实现的权限提升、利用替换服务实现的权限提升，以及利用本地溢出漏洞实现的权限提升等。

3. 后门安装

后门安装是指黑客在获取目标主机的权限以后，会通过安装隐蔽性较高的特洛伊木马、Rootkit等程序作为方便日后进入服务器进行信息查看或获取的后门。后门包括的种类有很多种，包括替换文件形成的后门、端口复用的后门程序以及隐匿于操作系统内核的Rootkit等。大多数黑客不会通过添加一个系统账户包括隐藏账户的方式方便以后进入服务器，因为这种方式很容易被系统管理员通过日志审计或查看用户的方式发现黑客的踪迹，所以比较流行的方式是通过安装后门应用程序的方式实现。如下图9所示为黑客通过替换黏贴键应用程序以后形成的黏贴键后门，黑客只需通过正常的远程桌面连接到服务器以后，在不需要输入主机账户和密码的情况下，通过连续按shift键五次就可以激活后门程序，并输入密码执行操作。

二 安全防范

2012年1月16日，中国互联网络信息中心发布的《第29次中国互联网络发展状况统计报告》显示，截至2011年12月底，中国网民规模达到5.13亿，全年新增网民5580万；互联网普及率较上年底提升4个百分点，达到38.3%。中国手机网民规模达到3.56亿，同比增长17.5%，与前几年相比，中国的整体网民规模增长进入平台期。自从2011年csdn泄密之后，很多低头编码的同学意识到安全的重要性，什么是信息安全？保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查性、不可否认性和可靠性等。随着国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注： “1月4日至10日，境内被篡改网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。”不仅网站，近年来各种Web网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体……Web安全威胁形势日益严峻，Web安全防护该何去何从？

今天，来自80端口和443端口的威胁比任何其他威胁都要迅猛。有鉴于基于Web的攻击越来越复杂化，所以企业就必须部署一个健壮的Web安全解决方案。多年来，我们一直在使用简单的URL过滤，这种办法的确是Web安全的一项核心内容。但是Web安全还远不止URL过滤这么简单，它还需要有注入AV扫描、恶意软件扫描、IP信誉识别、动态URL分类技巧和数据泄密防范等功能。攻击者们正在以惊人的速度侵袭着很多高知名度的网站，假如我们只依靠URL黑白名单来过滤的话，那我们可能就只剩下白名单的URL可供访问了。任何Web安全解决方案都必须能够动态地扫描Web流量，以便决定该流量是否合法。在此处所列举的5大安全解决方案中，Web安全是处在安全技术发展最前沿的，也是需要花钱最多的。而其他解决方案则大多数已经相当成熟。Web安全应尽快去掉虚饰，回归真实，方能抵挡住黑客们发起的攻击。

1.Web服务器安全防范

WEB应用服务器的安全从来都不是一个存在的问题，大概而言主要包括以下四点：服务器自身和网络环境的安全。主要有服务器系统漏洞，系统权限，网络环境(如ARP等)、网络端口管理等，这是站点安全的基础；WEB服务器应用的安全(IIS、Apache等)。主要有应用的配置、权限等，这直接影响访问网站的效率和结果；网站程序的安全。主要有程序漏洞，程序的权限审核。以及执行的效率。这个是WEB安全中占比例非常高的一部分；WEB服务器周边应用的安全。一台WEB服务器通常不是存在的。可能其它的应用服务器会影响到WEB服务器的安全，如数据库服务、FTP服务等。

1.1 建立安全的网络环境

作为防止黑客的后续攻击，良好的管理和上网习惯以及安全的防御系统至关重要，建立基于主机的入侵防御系统。将基于网络的入侵检测系统与基于主机的入侵防护结合起来。才能真正保护保存机密信息的系统。基于主机的入侵防御可以监视特定系统进入和发出的数据通信。查找异常的行为。漏洞评估就是要扫描操作系统、网络服务器、工作站、打印机等组件，目的是揭示有哪些地方缺少恰当的保护或存在漏洞。笔者建议企业应当将操作系统的评估与应用程序的测试结合起来。例如。在扫描Vista操作系统时。也应当注意Office是否受到了损害。第五，集中化的桌面保护。目前，多数桌面计算机都安装了某种反病毒保护方案。但企业应当对桌面保护采取集中化的方法，这可使得安装、管理、维护一致性的病毒保护系统更加便捷。在将的暴露程度最少化的前提下，还能建立快速的响应机制。

1.2 SSL安全协议在WEB服务器中的应用

SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中。从而来保证用户都可以与Web站点安全交流。

一是具有真正安全连接的高速安全套接层SSL交易，可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上，这种做法的好处是：从客户机到安全Web服务器的数据安全性；由于卸载工具执行所有SSL处理过程并完成TCP/IP协商，因此大大提高了吞吐量：简化了密钥的管理和维护。二是新型专用网络设备SSL加速器可以使Web站点通过在优化的硬件和软件中进行所有的SSL处理来满足性能和安全性的需要。

2. 动态验证、静态检测技术

2.1 动态验证和分析技术

动态验证和分析技术是基于客户端渗透攻击网站动态验证技术方法,采用行为监控软件ProcessMonitor、基于AP IHooking技术的动态行为监控软件MwSniffer、基于高交互式蜜罐技术的恶意代码样本捕获器HoneyBow、集成十多个主流反病毒引擎的恶意代码扫描软件MwScanner,手动或自动调度客户端蜜罐,访问待检测的可疑网站。根据监控到的系统动态行为判定客户端蜜罐系统是否被攻击并植入攻击代码,从而确定待检测网站是否被渗透攻击。

2.2静态检测和解密技术

识别被渗透攻击网站中的内嵌页面链接,对加密混淆的恶意网页进行识别和解密,对解密后网页代码进行特征匹配,从而检测出渗透攻击代码。静态检测核心问题即解密技术,根据已知编码/加密方法,构建相应的解码/解密程序。浏览器动态执行解密技术。基于Javascip t/VBScrip等脚本语言解析引擎进行动态执行,从而对加密脚本进行解密。静态检测和解密技术能够克服动态验证由于交互条件不存在造成的漏报,静态检测和解密实现技术较为复杂,可能产生一些误报。

3. Web网站渗透测试

渗透测试可综合评定当前系统各个层面的保护措施可否保护系统免受黑客入侵；可否阻断敏感数据被非法窃取；可否保护机构的公开信息不被恶意攻击者篡改；可否保护机构依赖于网络的业务不会因为黑客的攻击而中断；可否保护机构内部的计算机不会成为黑客攻击和利用的对象。因此对Web网站系统进行完整、系统的渗透测试是很有必要的。Web网站渗透测试主要通过对目标系统信息的全面收集、对系统中网络设备的探测、对服务器主机系统的漏洞扫描、对Web平台及数据库系统的安全性扫描以及通过Web应用系统程序的安全性渗透测试等手段来完成对整个Web网站系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程，涵盖了网络层面、主机层面、数据库层面以及应用服务层面的安全性渗透测试。通过工具扫描、人工验证，将Web网站系统各个层面在设计及实现上的安全弱点或漏洞（即有可能被潜在的威胁源所攻击的系统弱点）汇总并归类。通过人工分析来确定这些弱点被攻击的可能性，以及攻击事件产生影响的大小。

  然后针对各个弱点及漏洞提出了可以用来减缓和消除已识别风险的安全解决方法/方案。这些建议方法/方案的目标是降低Web系统的风险级别到一个可接受的水平。应该注意的是，并非所有可能的建议方法/方案都可以被实现来降低损失。针对具体应用要确定哪一个方法/方案是所要求的而且还是适合的，要对被提出的建议方法/方案作一个成本收益分析，从而证明实现这些方法/方案来降低风险级别在成本上是合理的。另外，对引入这些建议方法/方案所带来的操作影响（如对系统性能的影响）和可行性（如技术要求，用户的接受程度）等方面也要仔细分析。 

4． SQL注入攻击防范

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

在构造动态SQL语句时，一定要使用类安全(type-safe)的参数加码机制。大多数的数据API，包括ADO和ADO.NET，有这样的支持，允许你指定所提供的参数的确切类型(譬如，字符串，整数，日期等)，可以保证这些参数被恰当地escaped/encoded了，来避免黑客利用它们。一定要从始到终地使用这些特性。在部署你的应用前，始终要做安全审评(security review)。建立一个正式的安全过程(formal security process)，在每次你做更新时，对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线(going live)前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关，推说，“就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。同时勿用敏感性数据在数据库以明文存放。锁定数据库的安全，只给访问数据库的web应用功能所需的最低的权限。如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限从你的account payables表来生成报表，那么确认你禁止它对此表的 insert/update/delete 的权限。

5 .XSS攻击防御

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

步骤1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

步骤3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

当然，如上操作将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。

首先对各种场景下的XSS攻击样本库进行整理和分类，并建立起XSS攻击行为特征库，在实时攻击检测阶段，对所有可能实现XSS攻击的数据来源，如HTTP-Refere、URL、COOKIE、表单数据等，进行数据收集和初步分析，存在注入脚本的用户提交信息才进入下一步的XSS攻击判断。

这种分析方法有以下几点优势：

A：采用行为特征库而非数据特征库方式，可以避免由于检测固定特征导致的误报可能。

B：内置数据预处理过程，可以对所有可能包含XSS攻击的数据进行预处理，放行大部分正常HTTP请求，仅对少量疑似事件进行深入分析，提升分析速度，降低资源开销。

C：XSS攻击行为特征库维护由启明星辰公司AD-LAB(积极防御实验室)和博士后工作站负责，AD-LAB拥有大批漏洞发掘和分析人员，2007年发现并获得CVE编号的漏洞数量多达26个，是国内发掘CVE漏洞数量最多的团队。启明星辰博士后工作站是业内第一家驻企业的信息安全博士后工作站，为产品算法实现、研究技术转化提供有力保障。

6. Web 应用程序安全防范

分布式多层网络应用系统.日益成为计算模式的主流J该模式的安全保护.常局限于系统级的保护.依赖于防火墙K入

侵检测工具等J文章分析探讨了这种计算模式的重要组成要素LLFGH应用程序的安全问题.并指出.缺乏安全防范的FGH

应用程序.无异于黑客的M后门NJFGH应用程序.应在程序级K代码级进行安全防范J并对如何编写安全的代码K如何对FGH应

用程序进行安全评估等.提出了具有实际意义的方案与策略。要编写高效、安全的web应用程序’首先应了解web应用程序的各种开发环境及其目标程序的安全性、稳定性等’选择合适的开发环境6其次’应当了解黑客的心理、类型、目的及技术等相关内容，其中熟悉黑客常用技术是关键!只有真正熟悉并掌握常用的黑客攻击手法、了解这些攻击的后果及其原理’才有可能“以黑客的思维方式”编写出具有防范能力的、相对安全的web应用程序。分析、了解现有web应用程序的安全漏洞，也是完善web应用程序的有效途径之一。

三总结

随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。越来越多的机关、银行、企事业等单位为了适应社会的发展，树立自身良好的形象，扩大社会影响，提升工作效率，均建立起自己的门户网站。然而，由于网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生，甚至有的篡改网站的事件直接升级成政治事件，严重危及和人民利益。

本文由攻击渗透技术开题，分析了渗透技术的危害及其机理，让我们意识到web安全的重要性，同时根据当前一些比较重要的web漏洞，分析了安全防范措施，以此来加强人们的安全防范意识。

参看文献

[1]黄康宇.贺正求.赖海光.吴礼发.Web服务攻击技术研究综述  [期刊论文] 《计算机应用研究》2010（1）

[2]张亮.朱磊明.王康一种基于Web漏洞威胁模型的网站安全分析技术[期刊论文]-微型电脑应用2008,24(5)

[3]刘臻.陈平安全评估主动防御[期刊论文]-中国教育网络2009(10)

[4]李海燕.陈锦.鲜文铎网络虚拟资产的会计确认与计量[期刊论文]-财会月刊（理论版）2010(11)

[5] 苏文芝.李飞.基于Web方式的渗透攻击技术研究与对策[期刊论文]-济源职业技术学院学报2010（8）

[6]李艳玲.网络渗透攻击测试技术的研究 [期刊论文] 《计算机光盘软件与应用》 -2010(13)

[7]吴明峰.张永胜.李园园.韩艳梅.Web服务攻击技术研究 [期刊论文] 《计算机技术与发展》 ISTIC -2012(1)

[8] 冯兴利.锁志海.徐墨.基于PHP+MySQL的Web系统安全防范及全站静态化 [期刊论文] 《现代电子技术》 ISTIC -2012(8)

[9]朱林华.Web安全防范问题的研究 [期刊论文] 《硅谷》 -2010(1)

[10]陈涛.WEB服务器安全防范 [期刊论文] 《现代企业文化》 -2011(6)

[11]黄晓兵.彭健.余昌骐.SQL注入攻击方法及预防措施的研究 [期刊论文] 《计算机光盘软件与应用》 -2010(7)