(100.26.179.251) 您好!臺灣時間:2021/04/12 19:59
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:林明宏
研究生(外文):Ming-Hung Lin
論文名稱:利用雜湊URL對應機制來加強Web應用程式的安全性
論文名稱(外文):The Hashed URL Mapping Mechanism to Enhance the Web Application Security
指導教授:李肇林李肇林引用關係
學位類別:碩士
校院名稱:國立臺灣大學
系所名稱:資訊工程學研究所
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2005
畢業學年度:93
語文別:中文
論文頁數:38
中文關鍵詞:雜湊緩衝區溢位安全性應用程式漏洞資料隱碼
外文關鍵詞:hashthe web application securitybuffer overflowsql injectionURL
相關次數:
  • 被引用被引用:1
  • 點閱點閱:128
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
Web Server是透過開放的通訊協定接受使用者的請求,然而這也給了攻擊者能嘗試找出Web Server安全性漏洞的機會,影響Web Server安全性的層面相當廣泛,舉凡作業系統、Web Server和Web應用程式,都有可能因為一段撰寫不良的程式碼,造成整個系統被破壞或入侵竊取資料,而網管人員卻習慣將焦點放在作業系統和Web Server安全性漏洞上,殊不知由第三方所撰寫的應用程式也有可能存在安全性漏洞,給予攻擊者嘗試入侵系統的管道。
目前已有許多方法被提出用來改善Web應用程式的安全性,包括程式碼檢查、動態緩衝區溢位檢查、過濾使用者的封包等;然而這些方法有的需要作業系統或是編譯器的配合,有些則是需要針對不同的程式語言做特定的剖析,非常沒有彈性,況且許多已經編譯過的應用程式或函式庫,便無法透過這些技術來驗證。
本論文提出了雜湊URL對應機制。此機制不需更動現有Web Server的架構,能輕易地與現有的Web Server結合。此機制的構想是將Web Server裡所有的檔案隱藏起來,以MD5雜湊演算法編碼過的URL取代;使用者每次提出請求,Server皆會過濾要回傳的檔案內容,將內容中的URL以編碼過的URL替代,由於使用者每次所得到的URL都不同,因此外界便無法透過這些編碼過的URL來得知Web Server內的檔案資訊,這也讓攻擊者無法得知真正的檔案名稱或位置,因此不知從何處開始攻擊。
Web server accepts the users’ request over Internet. However, this may allow malicious hackers to exploit security holes in the web server by using the same path info. Malicious hackers may exploit software bugs in the web server, operating system or web application to gain unauthorized access to the web server. Although web application security is one of the main security concerns of web server, network administrators usually only pay attention to the web server and operating system. They do not consider that software bugs in the web application may also make the entire system insecure.
The mechanism proposed encodes all the web application files by replacing the URLs in the web page with randomly generated and hashed URL. Every time the authorized users visit the website governed by this mechanism will use different URLs to acquire system service. The unauthorized users, however, will not obtain the initial URL to be admitted to the system service.
Therefore, the mechanism proposed will effectively defend web application systems.
1. 緒論------------------------------------------------- 1
1.1 常見的Web應用程式漏洞--------------------------------1
1.2 雜湊URL機制----------------------------------------- 2
2. 相關技術簡介----------------------------------------- 5
2.1 HTTP----------------------------------------------- 5
2.2 Apache HTTP Server介紹----------------------------- 7
2.2.1 Request Handling流程----------------------------- 8
2.2.2 The Module Structure---------------------------- 13
2.2.3 APR Pools--------------------------------------- 14
2.2.4 Input/Output Filters and Handlers--------------- 15
2.3 MD5----------------------------------------------- 16
2.4 Berkeley DB--------------------------------------- 17
3. 系統架構-------------------------------------------- 19
3.1 Client向Apache HTTP Server請求起始URL------------- 19
3.1.1 進行認證---------------------------------------- 19
3.1.2 Apache HTTP Server傳回Initial URL--------------- 21
3.2 開始要求系統服務---------------------------------- 22
3.2.1 轉換URL----------------------------------------- 22
3.2.2 產生編碼過的Response Message-------------------- 23
3.3 雜湊URL Entry ------------------------------------ 24
3.4 雜湊URL對應機制的特點----------------------------- 24
4. 系統實作-------------------------------------------- 29
4.1 處理Request的流程--------------------------------- 30
4.2 設計雜湊URL Entry考量----------------------------- 32
4.3 使用Berkeley DB來儲存雜湊URL Entry---------------- 32
4.4 設定Input Filter---------------------------------- 33
5. 效能分析-------------------------------------------- 34
6. 未來展望-------------------------------------------- 36
參考文獻----------------------------------------------- 37
1. 鮑友仲, “初探「緩衝區溢位」攻擊”, http://www.hacker.org.tw/mirrorz/Hackland/bo1.html,
2. 國家資通安全會報技術服務中心, “SQL Injection之解決建議措施及相關資訊彙整”, http://www.icst.org.tw/content/application/ncert/leakrepair/guest-cnt-browse.php?grpid=&vroot=&cntgrp_ordinal=&cnt_id=455, 2004-9-30
3. 綠盟科技, “跨站腳本說明”, http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=799, 2005-1-10
4. RFC2616, “Hypertext Transfer Protocol – HTTP/1.1”, http://www.csie.ncu.edu.tw/~jrjiang/NCUNetP2004/rfc2616.txt, June 1999
5. RFC1945, “Hypertext Transfer Protocol - HTTP/1.0”,
http://www.w3.org/Protocols/rfc1945/rfc1945, May 1996
6. The Apache Software Foundation, HTTP Server, www.apache.org
7. Ben Laurie, Peter Laurie, “Apache The Definitive Guide 3rd Edition”, O’Reilly - 2002
8. The Apache Software Foundation, “The Apache Modeling Project”, http://apache.hpi.uni-potsdam.de/document/Contents.html
9. RFC1321, “The MD5 Message-Digest Algorithm”, http://www.faqs.org/rfcs/rfc1321.html, April 1992
10. Sleepycat Software, Inc. “Berkeley DB Reference Guide”, http://www.cs.sunysb.edu/documentation/BerkeleyDB/ref/toc.html
11. RFC3174, “US Secure Hash Algorithm (SHA1)”, http://www.faqs.org/rfcs/rfc3174.html, September 2001.
12. The Apache Software Foundation, “ab -- The Apache HTTP server benchmarking tool”, http://httpd.apache.org/docs-2.0/programs/ab.html
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔