5.1  明文密码传输漏洞    30
5.2  Cookie与用户登录    31
5.3  明文密码传输检测    32
5.4  密码安全传输办法    35
5.5  本章小结    36
结  论    37
致  谢    38
参 考 文 献    39
1  绪论
随着互联网进入web 2.0时代，基于web的各种应用与服务不断增加，在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是，web 2.0是一把双刃剑，在极大地丰富了互联网应用的同时，也使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。
1.1  概述
随着互联网进入web 2.0时代，基于web的各种应用与服务不断增加，在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是，web 2.0是一把双刃剑，在极大地丰富了互联网应用的同时，也使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。
1.2  WEB安全现状及趋势
Web 应用程序是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上，用户在 Web 浏览器上发送请求，这些请求使用 HTTP 协议，经过因特网和企业的 Web 应用交互，由 Web 应用和企业后台的数据库及其他动态内容通信。
当今世界，Internet已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断地完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据 Gartner[2] 的最新调查，信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。然而现实却是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 应用本身的安全，给黑客以可乘之机。
尽管不同的企业会有不同的 Web 环境搭建方式，一个典型的 Web 应用通常是标准的三层架构模型，如图1.1 所示。
在这种最常见的模型中，客户端是第一层；使用动态 Web 内容技术的部分属于中间层；数据库是第三层。用户通过 Web 浏览器发送请求（request）给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。
让我们一起来看一下 Web 应用安全的全景图，见图1.2[2]。
 图1.1 Web 应用三层架构模型
图1.2  信息安全全景
在企业 Web 应用的各个层面，都会使用不同的技术来确保安全性。为了保护客户端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到企业 Web 服务器的传输安全，通信层通常会使用 SSL(安全套接层)技术加密数据；企业会使用防火墙和 IDS(入侵检测系统)/IPS(入侵防御系统)来保证仅允许特定的访问，不必要暴露的端口和非法的访问，在这里都会被阻止；即使有防火墙，企业依然会使用身份认证机制授权用户访问 Web 应用。
但是，即便有防病毒保护、防火墙和 IDS/IPS，企业仍然不得不允许一部分的通信经过防火墙，毕竟 Web 应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是 Web 应用必须的 80 和 443 端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web 应用是由软件构成的，那么，它一定会包含缺陷(bugs)，这些 bug 就可以被恶意的用户利用，他们通过执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web 应用中的重要信息。 WEB安全漏洞检测工具的分析与改进(2):http://www.751com.cn/jisuanji/lunwen_8099.html