我国的互联网发展已经进入第二个十年，如今基于互联网的Web应用传播很快，无处不在，呈现在我们面前的网站不计其数，随之而来的安全问题也日益突出，Web站点被黑客入侵的事件屡有发生，这对我们生活工作造成一定的困扰。Web安全问题已引起人们的极大重视。

1.2 国内外研究状况

目前和相当长的一段时间内，国内外关于Web安全的研究主要是从制定安全的协议、系统平台的安全、网站程序的编程安全、开发安全的产品、Web服务器的安全控制等方面入手。在安全协议的制定方面，已经提出了大量实用的安全协议，最具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP，PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议和TLS协议是当前协议研究中的热点。

系统平台的安全方面主要研究操作系统的安全、数据库的安全等，以及现有常用系统(例如Windows、Unix、Linux)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。

网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP，ASP.NET，PHP，JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，且又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并且是非常基础性的应用。 Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。 

1.3 课题开发环境与目标

本设计主要是基于Windows Server 2008环境下的Web安全研究，通过ASP.NET和SQL　Server数据库创建一个网站模型，在设计网站的过程中研究操作系统本身、数据库、IIS以及ASP.NET架构存在的漏洞，并对这些漏洞给予修复，加强Web的安全性。

2 WEB安全研究概述

2.1 Web目前面临的安全问题

（1）端口漏洞。因为大部分基于万维网的应用都在公认的端口即用于HTTP的TCP80或用于HTTPS/SSL/TLS的TCP443上操作，而这些技术一般在确定了基本目标URL之后就不需要了。攻击者可能会使用一个常用的Web服务器端口列表对目标IP进行端口扫描，寻找运行于不常用的端口上的Web应用攻击主机，或通过种植木马、数据溢出的手段进攻主机，甚至利用某些软件设计的漏洞直接或间接控制主机。 

（2）信息泄漏。攻击者非法访问和获取目标计算机（Web服务器或浏览器）上的敏感信息；或中途截获Web服务器和浏览器之间传输的敏感信息；或由于配置和软件bug等原因无意中泄露敏感信息。这些敏感信息包含账户的用户名和密码等，

（3）破坏系统。攻击者利用通信协议和主机系统中的安全弱点进入系统，篡改网站的重要数据，或破坏系统运行的重要文件来控制系统，使Web服务器或浏览器无法正常工作甚至崩溃。

（4）病毒入侵。由于不小心执行病毒程序或因各种原因使计算机感染上病毒，从而导致网站的数据遭到破坏、敏感信息被窃取，系统的各种性能下降，操作系统受到障碍，系统安全性降低。

2.2 制度上的完善

目前，对于Web来说来源于网络上的安全威胁和攻击各种各样，网站存在的三大威胁是服务器系统漏洞、网站程序设计的缺陷以及人们安全意识的薄弱。