本章主要从Web应用安全、数据库安全、中间件安全和恶意代码等方面阐述应用层存在的主要安全问题。
三层客户/服务器结构构建了一种分隔式的应用程序,由三个层次共同组成应用系统。在这种结构中,用户使用标准的浏览器通过Internet和HTTP协议访问服务方提供的Web应用服务器,Web应用服务器分析用户浏览器提出的请求,如果是页面请求,则直接用HTTP协议向用户返回要浏览的页面。
SQL注入漏洞是Web层面最高危的漏洞之一。原因是用户输入的数据被SQL解释器执行。
可采用参数类型检测、参数长度检测、危险参数过滤(黑名单过滤、白名单过滤、GPC过滤)、参数化查询等防护手段针对SQL注入漏洞。
一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,从而可以在远程服务器上执行任意PHP脚本。
主要原因为,文件上传检查不严,文件上传后修改文件名时处理不当,使用第三方插件时引入。
文件上传漏洞常见防护手段有系统开发阶段的防御,系统运行阶段的防御,安全设备的防御。
跨站脚本攻击XSS是指攻击者利用网站程序对用户输入过滤的不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS是常见的Web应用程序安全漏洞之一。XXS属于客户端攻击,受害者是用户。
反射型XSS只是将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出,导致输出的数据中存在可被浏览器执行的代码数据。
存储型XSS是指Web应用程序会将用户输入的数据信息保存在服务器端的数据库或其他文件形式中。
基于ROM的XSS是通过修改页面DOM节点数据信息而形成的XSS。
XSS常见的防护手段为过滤特殊字符,使用实体化编码。
CSRF是指跨站请求伪造,攻击者盗用了你的身份,以你的名义进行某些非法操作,也就是说,CSRF能够使用用户的账户发送邮件、获取敏感信息,甚至盗走财产。
要完成一次CSRF攻击,受害者必须登录受信任网站A,并在本地生成Cookie,在不登出A的情况下,访问危险网站B。
CSRF漏洞的常见防护手段为添加验证码,验证referer,利用token。
远程代码执行漏洞是指攻击者可以随意执行系统命令。远程代码执行漏洞不仅存在于B/S架构中,在C/S架构中也常常遇到。
远程代码执行漏洞的常用防护手段有禁用高危系统函数,严格过滤关键字符,严格限制允许的参数类型。
恶意代码又称为恶意软件,是能够在计算机系统中进行非授权操作的代码。
恶意代码的危害主要表现在破坏数据,占用磁盘存储空间,抢占系统资源,影响计算机运行速度。
中间件是一种独立的系统软件或服务程序,分布式应用程序借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上,管理计算资源和网络通信。
数据库是存储数据的仓库,是长期存放在计算机内、有组织、可共享的大量数据的集合。数据库中的数据按照一定数据模型进行组织、描述和存储,具有较高的独立性和易扩展性,并为各种用户共享。
数据库技术是计算机处理与存储数据的有效技术,其典型代表就是关系型数据库。
SQL是结构化查询语言,是用于对存放在计算机数据库中的数据进行组织、管理和检索的一种工具。对数据库的防护要加强SA这样的账号密码,对扩展存储过程进行 处理,阻止非授权用户访问,加强对数据库登录的日志记录,用管理员账号定期检查所有账户。
网络舆论往往对事件的发展导向起到推动作用,而帮助网民在纷繁的网络舆论中明辨是非,传递正确的价值观是互联网时代精神文明建设的重要方面。
舆情是在一定的社会空间,围绕特定社会热点事件产生、发展、变化,社会上大多数的民众对事件处理对策、过程和结果所产生的态度,是绝大多数公众对社会现象和社会问题所表现出来的态度、情绪和意见的集合。
舆情具有以下特点,表达的直接性,舆情信息在数量上具有海量性,舆情信息在内容上具有随意性和交互性,传播的迅速性,产生的突发性,舆情信息在时间上具有实时性和继承性,情绪的非理性,舆情信息在发展上具有偏差性。
搜索引擎包括索引处理和查询处理,搜索引擎的核心是索引即目录。
典型的舆情分析方法有双层分析法、语义统计分析方法、情感倾向分析方法、基于Web的文本挖掘技术的分析方法。
网络舆情分析系统通常具有下列功能:热点话题、敏感话题识别,倾向性分析、主题跟踪、趋势分析、突发事件分析、报警系统、统计报告,。
大数据环境下一般由网络舆情数据采集、数据预处理、数据聚类、舆情分析和结果呈现等模块组成。
本章从舆情与舆情的关系出发,介绍了舆情的基本概念,介绍了社会舆情与网络舆情的区别,叙述了网络舆情分析与舆情检测系统的意义、作用和目的。讨论了网络舆情系统的构成与功能,介绍了相关的实用技术,并结合大数据技术说明了舆情统计和相关的系统管理知识。