高校网站安全防护方案

孙晓林　张新刚

摘要：高校网站一直是黑客攻击的重点部位，面对严峻的安全形势，管理部门制定了相应的安全防护方案，采取一定的措施，提高抵御外部攻击的能力。针对我校网站目前存在的问题，提出以下三种方案：使用UrlScan设置一定的规则在IIS之前对URL及请求字符串进行过滤、自主研发服务器管理器对网站文件夹的关键操作进行监控、利用IIS日志对入侵事件追踪，加强对网站的安全防护，减少因攻击而产生的损失。

关键词：网站；安全；攻击；防护；IIS日志；监控；过滤

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）14-3254-03

Abstract： The universitys websites have been the key attack target of hacker. Facing the serious situation， the management work out the corresponding security protection scheme and take some measures to enhance the resistibility of attack. For the existing problem in our websites， this paper proposed three solutions： filtering the URL and query strings by the rules in UrlScan before the IIS、developing the server manager to monitor the folder storing the website、tracing the invasion by the IIS log， which strengthen the website security and reduce the loss due to attack.

Key words： website； security； attack； protection； IIS log； monitor； filter

随着互联网的普及以及教育信息化的发展，各高校的门户网站及其二级网站作为学校和各部门重要的宣传窗口，在日常管理工作中占据着举足轻重的作用。但是，在网络环境日益复杂、入侵攻击日益频繁的大背景下，高校网站却普遍存在网站建设和管理不统一、日常维护不到位、管理人员安全意识缺乏等问题，安全防护水平急需提升。

2014年3月21日发布的《2013中国网站发展安全报告》指出：2013年被篡改的中国网站数量多达24034个，同比增长46.7%[1]。据360安全中心发布的《2013中国高校网站安全检测报告》得知：每个高校平均每天被黑客扫描、攻击113次[2]，如果网站存在漏洞，被挂马或植入钓鱼欺诈、广告链接，不仅对社会公众形成直接危害，而且可能使单位受到信誉和钱财的损失。可见，高校网站的安全形势依然相当严峻。因此，网站管理的相关部门根据自身特点采取了一些措施，如开发网络安全威胁实时监控系统[3]、建立基于ISAPI过滤器的防御系统[4]等，在一定程度上确保了网站的安全运行。

根据我校实际情况，针对网站安全防护提出以下三种方案：使用UrlScan工具过滤客户端提交的URL请求、研发服务器管理器时刻关注网站动态、根据IIS日志对入侵事件进行追踪，总体上以“预防为主”，降低网站被攻击的几率，同时制定应急方案，做好数据备份工作，实现被入侵后的数据实时恢复。

1 网站安全防护方案

目前，我校仅依靠在网站服务器上开启windows防火墙和安装防病毒软件实现对网站的基本保护，针对该情况，该文提出以下三种网站安全防护措施：UrlScan对URL和请求字符串的过滤、服务器管理器对关于网站的所有增、删、改操作进行监控、IIS记录所有的请求访问包括非法请求，下面进行详细介绍。

1.1 过滤工具UrlScan

几乎所有的攻击都是通过构造URL访问网站，比如：构造超长的URL、利用特殊字符串、在服务器上执行程序等。微软公司的UrlScan是针对IIS Web服务器发布的安全过滤软件，先于IIS对用户的HTTP请求进行实时监控，对所有URL及请求字符串的关键词进行过滤，阻止恶意请求的执行，确保只接受有效、安全的请求，防止攻击者利用漏洞进行入侵。

UrlScan在IIS进程 （Inetinfo.exe）内运行，包括筛选器UrlScan.dll和配置文件UrlScan.ini，通过在UrlScan.ini中设置请求规则实现对URL的过滤，具体设置办法如下：

1） Option节的设置决定后面各项是否有效，如：UseAllowVerbs为1时，启用AllowVerbs规则，否则DenyVerbs的设置有效。

2） AllowVerbs和DenyVerbs用来设置允许和拒绝在服务器端执行的HTTP请求动作。为了确保网站安全，AllowVerbs中设置只允许get、head、post请求，其余的全部拒绝。为使得该项生效，需要在 Option节中设置UseAllowVerbs=1。

3） AllowExtensions和DenyExtensions设置客户端允许和不允许访问的文件扩展名。根据我校实际情况，在DenyExtensions中增加文件后缀名为exe、bat、cmd、com、asp、cer的过滤，该项只在UseAllowExtensions=0时有效。

4） DenyUrlSequences中设置URL的过滤规则，即不能包含的字符，例如：“.”、“..”、“＼”、“：”、“%”、“&”、“—”、“‘”，一旦包含则拒绝该HTTP请求。endprint

5） DenyQueryStringSequences设置了URL请求字符串的过滤规则，即不能包含的字符或字符串，如“<”和“>”。

6） 如果网站的文件名称使用了非ASCII代码如中文，应在Option节中将AllowHighBitCharacters设为1，否则访问该类文件时出错。

另外，UrlScan可以针对某种安全威胁自定义相应的规则，实现“实时过滤”。例如，为了防止JS变异注入攻击，进行以下设置：

1） MaxQueryString=1000，因为病毒的请求字符串经过16进制编码后长度一般在1100左右。

2） DenyQueryStringSequences中增加对“0x”的过滤，防止攻击者以16进制编码方式提交请求。

所有被UrlScan拦截的HTTP请求都被记录在日志中。UrlScan日志包含以下字段：Date、Time、c-ip、s-siteid、cs-method、cs-uri、x-action、x-reason、x-context、cs-data、x-control，分别表示：HTTP请求的日期、UTC时间、客户端IP、处理该HTTP请求的站点ID号、HTTP的请求方法、请求及查询字符串的URI、UrlScan执行的动作、采取该动作的原因、触发该动作请求的一部分、触发该动作的请求数据、引起触发的控制数据的配置。下面对部分日志进行分析：

2014-04-12 03：42：50 119.90.45.141 2 GET /index.files/counter.htm Rejected URL+contains+dot+in+path URL - -（DenyUrlSequences中设置访问页面的URL路径中含有不允许出现的字符“.”）

2014-04-12 04：18：27 106.38.244.229 2 OPTIONS /admin/upload/ Rejected verb+not+allowed HTTP+method - -（AllowVerbs中规定不允许进行options请求）

2014-04-12 23：18：40 122.225.222.98 2 GET /xueyuanfengcai.asp Rejected extension+not+allowed file+extension .asp –（DenyExtensions设置不允许访问后缀名为asp的文件）

由此可见，UrlScan对URL及请求字符串进行过滤，在一定程度上增强了网站的安全性，同时防御SQL注入攻击，但并不能完全抵抗所有的SQL攻击，关键要注重加强网站应用程序的安全措施，增强传输给SQL Server数据库的数据安全性。

1.2 研发服务器管理器

由于IIS日志记录非常详细，包含很多字段，对网站的所有操作进行记录，给网站服务器的管理人员带来不便，因此自行研发了服务器管理器，对一些关键操作进行记录，界面如图1所示：

在“选择监控目录”中指定存放网站的文件夹进行监控，并在“监控事件”栏，根据需要选择监控的项目：创建、修改、删除，该管理器根据用户的需求对所指定目录和操作进行监控。

日常管理工作中，网站安全管理人员能够根据记录直接明了地发现异常文件，如后缀名为exe或asp的文件，及时进行删除，然后再根据IIS日志进行追踪。

1.3利用IIS日志追踪

互联网信息服务IIS是微软的一个web服务组件，支持多种协议，用来实现网页浏览、文件传输等功能[5]。IIS日志是IIS运行的文件，保存着所有访问网站的详细记录，默认情况下包含14个字段。如果需要选择更多的字段，可在“日志记录属性”对话框的“高级”选项卡中添加，部分字段含义如表1所示：

无论黑客采用哪种攻击方式，总会留下入侵痕迹，因此可以通过分析IIS日志获得黑客的入侵手段及相关操作。下面分别介绍根据IIS日志追踪网站挂马和SQL注入攻击的方法。

1） 网站挂马

首先，必须清楚sc-status值即HTTP的状态代码的含义：200-成功访问、400-语句中存在语法问题、403-禁止访问该资源、404-请求的资源不存在。在入侵网站之前，攻击者必须获取系统或网站的权限。因此，选定某些存在漏洞的页面作为突破口，并通过该页面构造请求字符串多次向服务器提交请求，如果该资源或字段不存在，访问失败，IIS日志中则会留下连续的403或404访问记录。

经过多次试探，攻击者成功获取一定的权限后，用post方法向服务器提交文件或者表单，上传木马。攻击者通过远程操作该木马，获取webshell，进一步实现批量挂马。如果服务器存在严重的漏洞，攻击者甚至可以破坏整个系统，产生更严重的后果。所以，网站被挂马之后，除了立即删除木马文件之外，还要根据黑客的IP地址，在整个IIS日志中搜索，防止感染其他文件或系统。

2） SQL注入

SQL注入攻击最显著的特征是，IIS日志的cs-uri-stem字段含有大量的“%20”和“select”字符串，以此为出发点，在日志中进行搜索。若发现被攻击的嫌疑，则记录该页面，查找存在的SQL注入漏洞，并尽快修改程序，修复漏洞，防止网站被攻击。

IIS日志不仅是网站安全管理人员了解服务器安全的有效途径，也是公安人员获取线索和证据的重要来源[6]，因此要妥善保管，必要时进行备份。如果IIS日志被黑客在事后删除，则在“事件查看器”中查看警告信息，获得入侵者的相关信息。

1.4 其他防护措施

为了降低网站被攻击的风险，在程序中进行以下限制：设置上传文件的类型，尤其禁止exe、asp文件的上传；对于使用SQL Server数据库的网站，采取“最小权限原则”，不赋予“SA”权限，而是创建新的账号，并赋予最低权限[7]。除此之外，关闭不必要的端口和服务[8]；定期检查并备份windows日志和IIS日志，保证日志的完整性。为了进一步加强安全防御，架设入侵防御设备和防篡改系统也是非常必要的。

2 结论

本文提出的三种方案从不同方面对网站进行保护， UrlScan在客户的HTTP请求到达IIS之前执行，类似于防火墙，进行第一层保护；服务器管理器是IIS日志的简化，方便管理；如果要对入侵事件进行追踪，查看IIS日志是必不可少的。三种方案相互配合，一定程度上提高了网站的安全性。但是，随着各种病毒的不断进化和入侵手段的日益高明化，高校网站的安全防护任重道远，网站安全管理人员要加强对网络安全防御知识的学习，针对不同的攻击方式制定更加有效地网站安全防护措施，做到“防患于未然”。

参考文献：

[1] 安全联盟发布2013中国网站发展安全报[EB/OL]. http：//post.tom.com/AA001E7D873.html.

[2] 360互联网安全中心. 2013年中国高校网站安全检测报告[R]. http：//corp.360.cn/report/2013gaoxiaowangzhananquan.pdf.

[3] 姜开达，李霄，沈海云，白巍. 高校网站安全防护体系设计与实现[J]. 信息网络安全， 2012 （12）： 83-85.

[4] 尹宏飞. SQL 注入攻击及防御技术的研究[J]. 智能计算机与应用， 2013 （1）： 70-71.

[5] 杨方，，潘大丰. IIS 日志在网站安全中的研究与应用[J]. 农业网络信息， 2010 （10）： 96-98.

[6] 张镇宁.关于非法入侵网站的取证分析[J].信息网络安全， 2013 （8）： 71-74.

[7] 蒙彪，刘俊景. SQL 注入攻击的分类防御模型的研究[J].信息技术与标准化， 2008 （11）： 17-19.

[8] 井俊岭.高职院校网站安全防范与加固[J].电脑知识与技术， 2010， 6（14）：3590-3591.endprint

5） DenyQueryStringSequences设置了URL请求字符串的过滤规则，即不能包含的字符或字符串，如“<”和“>”。

6） 如果网站的文件名称使用了非ASCII代码如中文，应在Option节中将AllowHighBitCharacters设为1，否则访问该类文件时出错。

另外，UrlScan可以针对某种安全威胁自定义相应的规则，实现“实时过滤”。例如，为了防止JS变异注入攻击，进行以下设置：

1） MaxQueryString=1000，因为病毒的请求字符串经过16进制编码后长度一般在1100左右。

2） DenyQueryStringSequences中增加对“0x”的过滤，防止攻击者以16进制编码方式提交请求。

所有被UrlScan拦截的HTTP请求都被记录在日志中。UrlScan日志包含以下字段：Date、Time、c-ip、s-siteid、cs-method、cs-uri、x-action、x-reason、x-context、cs-data、x-control，分别表示：HTTP请求的日期、UTC时间、客户端IP、处理该HTTP请求的站点ID号、HTTP的请求方法、请求及查询字符串的URI、UrlScan执行的动作、采取该动作的原因、触发该动作请求的一部分、触发该动作的请求数据、引起触发的控制数据的配置。下面对部分日志进行分析：

2014-04-12 03：42：50 119.90.45.141 2 GET /index.files/counter.htm Rejected URL+contains+dot+in+path URL - -（DenyUrlSequences中设置访问页面的URL路径中含有不允许出现的字符“.”）

2014-04-12 04：18：27 106.38.244.229 2 OPTIONS /admin/upload/ Rejected verb+not+allowed HTTP+method - -（AllowVerbs中规定不允许进行options请求）

2014-04-12 23：18：40 122.225.222.98 2 GET /xueyuanfengcai.asp Rejected extension+not+allowed file+extension .asp –（DenyExtensions设置不允许访问后缀名为asp的文件）

由此可见，UrlScan对URL及请求字符串进行过滤，在一定程度上增强了网站的安全性，同时防御SQL注入攻击，但并不能完全抵抗所有的SQL攻击，关键要注重加强网站应用程序的安全措施，增强传输给SQL Server数据库的数据安全性。

1.2 研发服务器管理器

由于IIS日志记录非常详细，包含很多字段，对网站的所有操作进行记录，给网站服务器的管理人员带来不便，因此自行研发了服务器管理器，对一些关键操作进行记录，界面如图1所示：

在“选择监控目录”中指定存放网站的文件夹进行监控，并在“监控事件”栏，根据需要选择监控的项目：创建、修改、删除，该管理器根据用户的需求对所指定目录和操作进行监控。

日常管理工作中，网站安全管理人员能够根据记录直接明了地发现异常文件，如后缀名为exe或asp的文件，及时进行删除，然后再根据IIS日志进行追踪。

1.3利用IIS日志追踪

互联网信息服务IIS是微软的一个web服务组件，支持多种协议，用来实现网页浏览、文件传输等功能[5]。IIS日志是IIS运行的文件，保存着所有访问网站的详细记录，默认情况下包含14个字段。如果需要选择更多的字段，可在“日志记录属性”对话框的“高级”选项卡中添加，部分字段含义如表1所示：

无论黑客采用哪种攻击方式，总会留下入侵痕迹，因此可以通过分析IIS日志获得黑客的入侵手段及相关操作。下面分别介绍根据IIS日志追踪网站挂马和SQL注入攻击的方法。

1） 网站挂马

首先，必须清楚sc-status值即HTTP的状态代码的含义：200-成功访问、400-语句中存在语法问题、403-禁止访问该资源、404-请求的资源不存在。在入侵网站之前，攻击者必须获取系统或网站的权限。因此，选定某些存在漏洞的页面作为突破口，并通过该页面构造请求字符串多次向服务器提交请求，如果该资源或字段不存在，访问失败，IIS日志中则会留下连续的403或404访问记录。

经过多次试探，攻击者成功获取一定的权限后，用post方法向服务器提交文件或者表单，上传木马。攻击者通过远程操作该木马，获取webshell，进一步实现批量挂马。如果服务器存在严重的漏洞，攻击者甚至可以破坏整个系统，产生更严重的后果。所以，网站被挂马之后，除了立即删除木马文件之外，还要根据黑客的IP地址，在整个IIS日志中搜索，防止感染其他文件或系统。

2） SQL注入

SQL注入攻击最显著的特征是，IIS日志的cs-uri-stem字段含有大量的“%20”和“select”字符串，以此为出发点，在日志中进行搜索。若发现被攻击的嫌疑，则记录该页面，查找存在的SQL注入漏洞，并尽快修改程序，修复漏洞，防止网站被攻击。

IIS日志不仅是网站安全管理人员了解服务器安全的有效途径，也是公安人员获取线索和证据的重要来源[6]，因此要妥善保管，必要时进行备份。如果IIS日志被黑客在事后删除，则在“事件查看器”中查看警告信息，获得入侵者的相关信息。

1.4 其他防护措施

为了降低网站被攻击的风险，在程序中进行以下限制：设置上传文件的类型，尤其禁止exe、asp文件的上传；对于使用SQL Server数据库的网站，采取“最小权限原则”，不赋予“SA”权限，而是创建新的账号，并赋予最低权限[7]。除此之外，关闭不必要的端口和服务[8]；定期检查并备份windows日志和IIS日志，保证日志的完整性。为了进一步加强安全防御，架设入侵防御设备和防篡改系统也是非常必要的。

2 结论

本文提出的三种方案从不同方面对网站进行保护， UrlScan在客户的HTTP请求到达IIS之前执行，类似于防火墙，进行第一层保护；服务器管理器是IIS日志的简化，方便管理；如果要对入侵事件进行追踪，查看IIS日志是必不可少的。三种方案相互配合，一定程度上提高了网站的安全性。但是，随着各种病毒的不断进化和入侵手段的日益高明化，高校网站的安全防护任重道远，网站安全管理人员要加强对网络安全防御知识的学习，针对不同的攻击方式制定更加有效地网站安全防护措施，做到“防患于未然”。

参考文献：

[1] 安全联盟发布2013中国网站发展安全报[EB/OL]. http：//post.tom.com/AA001E7D873.html.

[2] 360互联网安全中心. 2013年中国高校网站安全检测报告[R]. http：//corp.360.cn/report/2013gaoxiaowangzhananquan.pdf.

[3] 姜开达，李霄，沈海云，白巍. 高校网站安全防护体系设计与实现[J]. 信息网络安全， 2012 （12）： 83-85.

[4] 尹宏飞. SQL 注入攻击及防御技术的研究[J]. 智能计算机与应用， 2013 （1）： 70-71.

[5] 杨方，，潘大丰. IIS 日志在网站安全中的研究与应用[J]. 农业网络信息， 2010 （10）： 96-98.

[6] 张镇宁.关于非法入侵网站的取证分析[J].信息网络安全， 2013 （8）： 71-74.

[7] 蒙彪，刘俊景. SQL 注入攻击的分类防御模型的研究[J].信息技术与标准化， 2008 （11）： 17-19.

[8] 井俊岭.高职院校网站安全防范与加固[J].电脑知识与技术， 2010， 6（14）：3590-3591.endprint

5） DenyQueryStringSequences设置了URL请求字符串的过滤规则，即不能包含的字符或字符串，如“<”和“>”。

6） 如果网站的文件名称使用了非ASCII代码如中文，应在Option节中将AllowHighBitCharacters设为1，否则访问该类文件时出错。

另外，UrlScan可以针对某种安全威胁自定义相应的规则，实现“实时过滤”。例如，为了防止JS变异注入攻击，进行以下设置：

1） MaxQueryString=1000，因为病毒的请求字符串经过16进制编码后长度一般在1100左右。

2） DenyQueryStringSequences中增加对“0x”的过滤，防止攻击者以16进制编码方式提交请求。

所有被UrlScan拦截的HTTP请求都被记录在日志中。UrlScan日志包含以下字段：Date、Time、c-ip、s-siteid、cs-method、cs-uri、x-action、x-reason、x-context、cs-data、x-control，分别表示：HTTP请求的日期、UTC时间、客户端IP、处理该HTTP请求的站点ID号、HTTP的请求方法、请求及查询字符串的URI、UrlScan执行的动作、采取该动作的原因、触发该动作请求的一部分、触发该动作的请求数据、引起触发的控制数据的配置。下面对部分日志进行分析：

2014-04-12 03：42：50 119.90.45.141 2 GET /index.files/counter.htm Rejected URL+contains+dot+in+path URL - -（DenyUrlSequences中设置访问页面的URL路径中含有不允许出现的字符“.”）

2014-04-12 04：18：27 106.38.244.229 2 OPTIONS /admin/upload/ Rejected verb+not+allowed HTTP+method - -（AllowVerbs中规定不允许进行options请求）

2014-04-12 23：18：40 122.225.222.98 2 GET /xueyuanfengcai.asp Rejected extension+not+allowed file+extension .asp –（DenyExtensions设置不允许访问后缀名为asp的文件）

由此可见，UrlScan对URL及请求字符串进行过滤，在一定程度上增强了网站的安全性，同时防御SQL注入攻击，但并不能完全抵抗所有的SQL攻击，关键要注重加强网站应用程序的安全措施，增强传输给SQL Server数据库的数据安全性。

1.2 研发服务器管理器

由于IIS日志记录非常详细，包含很多字段，对网站的所有操作进行记录，给网站服务器的管理人员带来不便，因此自行研发了服务器管理器，对一些关键操作进行记录，界面如图1所示：

在“选择监控目录”中指定存放网站的文件夹进行监控，并在“监控事件”栏，根据需要选择监控的项目：创建、修改、删除，该管理器根据用户的需求对所指定目录和操作进行监控。

日常管理工作中，网站安全管理人员能够根据记录直接明了地发现异常文件，如后缀名为exe或asp的文件，及时进行删除，然后再根据IIS日志进行追踪。

1.3利用IIS日志追踪

互联网信息服务IIS是微软的一个web服务组件，支持多种协议，用来实现网页浏览、文件传输等功能[5]。IIS日志是IIS运行的文件，保存着所有访问网站的详细记录，默认情况下包含14个字段。如果需要选择更多的字段，可在“日志记录属性”对话框的“高级”选项卡中添加，部分字段含义如表1所示：

无论黑客采用哪种攻击方式，总会留下入侵痕迹，因此可以通过分析IIS日志获得黑客的入侵手段及相关操作。下面分别介绍根据IIS日志追踪网站挂马和SQL注入攻击的方法。

1） 网站挂马

首先，必须清楚sc-status值即HTTP的状态代码的含义：200-成功访问、400-语句中存在语法问题、403-禁止访问该资源、404-请求的资源不存在。在入侵网站之前，攻击者必须获取系统或网站的权限。因此，选定某些存在漏洞的页面作为突破口，并通过该页面构造请求字符串多次向服务器提交请求，如果该资源或字段不存在，访问失败，IIS日志中则会留下连续的403或404访问记录。

经过多次试探，攻击者成功获取一定的权限后，用post方法向服务器提交文件或者表单，上传木马。攻击者通过远程操作该木马，获取webshell，进一步实现批量挂马。如果服务器存在严重的漏洞，攻击者甚至可以破坏整个系统，产生更严重的后果。所以，网站被挂马之后，除了立即删除木马文件之外，还要根据黑客的IP地址，在整个IIS日志中搜索，防止感染其他文件或系统。

2） SQL注入

SQL注入攻击最显著的特征是，IIS日志的cs-uri-stem字段含有大量的“%20”和“select”字符串，以此为出发点，在日志中进行搜索。若发现被攻击的嫌疑，则记录该页面，查找存在的SQL注入漏洞，并尽快修改程序，修复漏洞，防止网站被攻击。

IIS日志不仅是网站安全管理人员了解服务器安全的有效途径，也是公安人员获取线索和证据的重要来源[6]，因此要妥善保管，必要时进行备份。如果IIS日志被黑客在事后删除，则在“事件查看器”中查看警告信息，获得入侵者的相关信息。

1.4 其他防护措施

为了降低网站被攻击的风险，在程序中进行以下限制：设置上传文件的类型，尤其禁止exe、asp文件的上传；对于使用SQL Server数据库的网站，采取“最小权限原则”，不赋予“SA”权限，而是创建新的账号，并赋予最低权限[7]。除此之外，关闭不必要的端口和服务[8]；定期检查并备份windows日志和IIS日志，保证日志的完整性。为了进一步加强安全防御，架设入侵防御设备和防篡改系统也是非常必要的。

2 结论

本文提出的三种方案从不同方面对网站进行保护， UrlScan在客户的HTTP请求到达IIS之前执行，类似于防火墙，进行第一层保护；服务器管理器是IIS日志的简化，方便管理；如果要对入侵事件进行追踪，查看IIS日志是必不可少的。三种方案相互配合，一定程度上提高了网站的安全性。但是，随着各种病毒的不断进化和入侵手段的日益高明化，高校网站的安全防护任重道远，网站安全管理人员要加强对网络安全防御知识的学习，针对不同的攻击方式制定更加有效地网站安全防护措施，做到“防患于未然”。

参考文献：

[1] 安全联盟发布2013中国网站发展安全报[EB/OL]. http：//post.tom.com/AA001E7D873.html.

[2] 360互联网安全中心. 2013年中国高校网站安全检测报告[R]. http：//corp.360.cn/report/2013gaoxiaowangzhananquan.pdf.

[3] 姜开达，李霄，沈海云，白巍. 高校网站安全防护体系设计与实现[J]. 信息网络安全， 2012 （12）： 83-85.

[4] 尹宏飞. SQL 注入攻击及防御技术的研究[J]. 智能计算机与应用， 2013 （1）： 70-71.

[5] 杨方，，潘大丰. IIS 日志在网站安全中的研究与应用[J]. 农业网络信息， 2010 （10）： 96-98.

[6] 张镇宁.关于非法入侵网站的取证分析[J].信息网络安全， 2013 （8）： 71-74.

[7] 蒙彪，刘俊景. SQL 注入攻击的分类防御模型的研究[J].信息技术与标准化， 2008 （11）： 17-19.

[8] 井俊岭.高职院校网站安全防范与加固[J].电脑知识与技术， 2010， 6（14）：3590-3591.endprint