摘  要

 

本文分析了在web应用中常见的漏洞，对在web开发中容易忽略、高危的漏洞进行了详细分析，其中包括SQL注入，XSS，CSRF，文件上传漏洞等漏洞。文中设计实现了一个系统来完成漏洞的攻防效果演示，并且详细分析漏洞出现的原因以及防御的理念。本文是秉持这一个研究，学习记录，实践的理念去完成的。希望开发中在这些安全隐患的高发区能够引起开发者的重视；也希望使用者在使用过程中能够提升自己的辨别能力和安全意识，不会轻易被不法分子截取自己的有效信息，导致信息泄露。

 

关键词：web漏洞，web漏洞原理，web漏洞防御理念

 

 

目  录

 

第一章 绪论 1

1.1 项目背景以及意义 1

1.2 研究现状以及成果 1

1.3 发展趋势 2

第二章 常见Web漏洞分析 3

2.1 SQL注入漏洞 3

2.2 XSS攻击 3

2.3 CSRF攻击 3

2.4 文件上传漏洞 4

2.5 失效的身份认证和会话管理 4

2.6 权限越界 4

2.7 暴力破解 5

第三章 系统分析与设计 6

3.1 需求分析 6

3.1.1 用户角色 6

3.1.2 业务需求 6

3.1.3 漏洞演示需求 6

3.2 系统设计 6

3.2.1 设计约束 6

3.2.2 功能设计 7

3.2.3 系统层次图 9

3.2.4 数据库ER图 10

3.2.5 数据库表设计 11

第四章 系统实现 14

4.1 系统技术框架 14

4.1.1 Spring Boot 14

4.1.2 Redis 14

4.1.3 MySQL 15

4.2 项目结构 15

4.3 漏洞攻防演示实现 16

4.3.1 权限越界实现 16

4.3.2 SQL注入实现 16

4.3.3 暴力破解实现 18

4.3.4 XSS攻击实现 18

4.3.5 文件上传漏洞攻击实现 19

4.3.6 CSRF攻击实现 20

4.3.7 失效的身份认证和会话管理实现 21

第五章 总结 22

参考文献 23

致谢 24