基于Django的实验室信息管理系统设计

设计了一种基于Django的实验室信息管理系统。系统遵循了MVC开发模式,采用Django框架作为开发平台。Django是基于Python语言的Web开发框架,支持多种数据库,采用开源的轻量级数据库SQLite。Web服务器方面,开发阶段采用的是Django框架自带的轻量级Web服务器,开发完成后,整个系统被部署到Linux平台下的Apache服务器上。系统实现了用户注册和登录、实验室公告查看、仪器借还信息查看、留言发表及查看等功能。管理员可以通过Django自带的后台管理模块对系统进行管理,用户可以通过浏览器来访问系统,无需安装专门的客户端。     

基于标签聚类和协同过滤算法的就业推荐系统设计

随着毕业生就业压力的增大,国家和社会持续发力,国家出台多项就业支持政策,社会上的企业招聘也日渐增多。在此背景下,设计了一种个性化的就业推荐系统。系统基于Web应用,主要功能包括用户注册和登录、用户选择感兴趣领域、职位推荐、职位收藏及查看职位详细内容。其中注册和登录功能的实现借用了Django内置的Auth模块;数据库用的是Django框架下的Sqlite3;职位推荐是基于用户信息的协同过滤算法实现的,并且用标签聚类的方式解决了冷启动问题。仿真结果表明,用户可以注册之后登录并选择自己感兴趣的领域,然后就可以查看系统推荐的职位,具有较好的效果。     

在Django下实现用户的安全注册和登录

在Web应用中提供的用户注册和登录功能的安全性是决定用户帐户数据安全与否的关键,也是开发过程的一个重要目标.通过实例,详细讲解了在Django1.2.5下,实现用户安全注册和登录的方法.     

Web银行系统中的SQL注入攻击及防范

互联网的普及使得Web银行成为金融企业拓展业务的必然。然而Web银行在给用户带来极大便利的同时,网络安全特别是SQL注入攻击也成为了一个倍受关注的问题。本文在分析SQL注入原理和常见注入方式的基础上,依据多年从事银行业务系统应用开发、实施和审计经验,总结了几点Web环境下针对SQL注入的防范措施。     

基于. NET平台的网上营业厅系统设计

电信运营商重组带来新的格局变化,网上营业厅作为网络化发展战略的重要载体,已经为各省市运营商所重视并实践。在现有网上营业厅系统研究的基础上分析,采用Power Designer进行数据建模、SQL Server2005作为后台数据库、。 NET为开发平台,开发了一套网上营业厅系统。该系统包括登录/注册模块、客户服务模块、营业员管理模块和留言回复模块等,其中用户登录模块运用Web Service相关技术,利用Web Service短信平台实现手机即时验证码功能,保障用户登录的安全。通过实际应用表明,该系统在三层架构基础上,结合。 NET与Web Service两者优势,操作方便快捷且安全性较高,提升了客户的满意程度。     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

基于隐马尔可夫模型的SQL注入攻击行为检测

为分析恶意用户对Web系统的攻击行为,提出基于隐马尔可夫模型(Hidden Markov Model, HMM)的SQL注入攻击检测方法。利用HMM模型对隐状态的描述能力完善Web用户行为模型,该方法能够基于自定义日志做出SQL注入的预测而无须捕捉用户提交的敏感信息,采用概率分析和偏离度分析的方法,得到用户SQL注入可能性的综合评价,从而发现潜在威胁,提升对目标Web应用的攻击检测能力。此外采用K-means和FCM两种方法对比实验,验证了所提出的方法在Web系统SQL注入攻击检测中的有效性。     

SQL注入攻击及其防范检测技术的研究

伴随信息技术的发展,网络的应用日益广泛,由于网络风险的无处不在,人们对网络安全的重视程度也越来越高。目前,针对Web应用系统的攻击已成为网络安全攻防新焦点,而在Web应用系统的所有攻击中,SQL注入攻击则成为Web应用系统的严重安全隐患。为了给网络用户提供一个安全的网络环境,我们有必要对SQL注入攻击进行了解,并积极做好防范准备。     

大规模Web应用的SQL注入攻击威胁检测研究

Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响，带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响，提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术，建立了模糊测试的SQL注入漏洞检测模型框架，使用漏洞检测框架的信息收集模块、模糊检测模块，按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境，对基于模糊测试技术SQL注入漏洞检测模型进行实验论证，仿真实验结果得出：基于模糊测试法的SQL注入漏洞检测模型，相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言，在不同分级漏洞检测中的确认、检测效果更优（达到90%以上）。     

基于正则表示的SQL注入过滤模块设计

研究SQL注入攻击行为及语法特征,采用正则表达式对攻击特征进行描述,在此基础上设计Web服务端SQL注入攻击过滤模块,使Http请求被提交至系统模块处理前实现注入攻击检查。测试结果表明,与单纯基于关键字的过滤相比,基于正则表示的过滤具有更高的识别率和较低的误报率,加载了过滤模块的Web服务器能较好地拦截多种SQL注入攻击,并且服务延迟较小。     

基于SQL语法树的SQL注入过滤方法研究

Web 应用的发展,使其涉及的领域也越来越广。随之而来的安全问题也越来越严重,尤其是 SQL注入攻击,给Web应用安全带来了巨大的挑战。针对SQL注入攻击,将基于SQL语法树比较的安全策略引入用户输入过滤的设计中,提出了一种新的SQL注入过滤方法。实验结果表明,该方法能够有效地防止SQL注入攻击,并有较高的拦截率和较低的误报率。     

Web应用SQL注入漏洞分析及防御研究

基于Web的互联网应用蓬勃发展。Web应用在每个人的日常生活中扮演着重要的角色,积聚了大量的用户信息和数据,引起了黑客们的广泛关注。这使得Web应用的安全形势日渐严峻。保障Web应用程序和用户数据安全关系重大,本文对存在范围广、威胁程度高的SQL注入攻击进行了论述,分析了SQL注入攻击的机理及可能造成的危害,探讨了发现SQL注入攻击的方法以及如何实施防御措施,以期为Web应用安全性能的提升、为开发人员、网络安全工作者提供参考。     

一种防SQL注入的静态分析方法

提出了一种基于静态分析的SQL注入攻击的检测方法。静态分析Web应用程序的源文件,提取污染源到执行参数的构造路径,形成检测规则。动态执行时替换规则中的输入参数为用户输入值,比较得到的SQL语句和原SQL语句在语义和结构上的异同,判断是否存在SQL注入攻击。实验结果表明,该方法有效可行,增加了过滤模块后对系统的性能影响不大。     

对软件开发角度谈SQL注入攻击的防范

随着各种Web站点的迅速发展,基于ASP和PHP脚本注入的SQL注入成为了当前主要的攻击方式,且70%以上的Web站点都存在着SQL注入问题,人们可以根据数据库配置、服务器等的疏漏或一些非法语句侵入服务器获取内网的系统信息等,威胁到整个数据库信息安全问题,也威胁到用户本身。本文从软件开发角度,探讨SQL注入攻击的防范措施,保证服务器、信息系统等的安全。     

基于PKI的Web单点登录系统设计与实现

随着Web应用的不断普及,如何方便的认证用户身份,如何灵活的管理用户的访问权限,成为了一个日益重要的问题.单点登录(single sign-on)是一种解决不同系统之间一次登录,多系统访问的技术.设计并实现了一种Web环境下的单点登录模型,其安全性基于公开密钥基础设施,保证了多Web系统互连的安全性.系统在J2EE平台上实现,有效的解决了重放攻击、身份认证等安全问题;同时,该系统实现简单,保留了原有系统的权限管理模块,降低了系统集成成本的同时,也更灵活的实现了权限管理.     

Web应用SQL注入漏洞检测工具的设计与实现

由于Web应用系统的开发周期较短,同时开发人员安全编程意识不足,Web应用程序会存在漏洞。因此,检测Web应用系统的安全性是安全领域的亟待解决的问题。SQL注入漏洞检测工具模拟黑客攻击的方式,采用网络爬虫技术建立需检测的URL库,依据SQL注入模板精心构造URL,并从根据浏览器返回信息,判定是否存在SQL注入点。可以提前意识到Web应用存在的漏洞,并及时修补,降低系统受攻击的风险,是有效的Web安全防护手段。     

一种基于Web单点登录系统实现

介绍了一种基于Web的单点登录实现方法,解决同一用户登录不同Web应用系统需要进行多次独立身份认证问题,详细讨论了单点登录系统中后台数据组织、存储安全性以及代理认证服务处理逻辑.同时,就服务通信安全与服务响应时间之间的矛盾问题提出了一种解决的方法.Web代理采用浏览器插件方式,截获用户第一次登录某个Web应用时的post数据,并将其存入数据库,用户在以后登录这个Web应用系统时自动提取数据库中post数据,省去了用户手动进行身份认证的过程,实现了统一身份认证.     

基于移动终端的系统登录方法的研究与开发

本文针对在不安全的网络环境或不安全的上网系统的环境下,提出一种基于移动终端的安全登录系统,克服了现有移动登录方案的不足。当用户使用浏览器在一个Web信息系统或应用系统进行登录操作时,Web信息系统或应用系统将浏览器与Web系统之间的会话标识数据以二维码的形式显示在浏览器上,用户只需使用移动终端的摄像头扫描二维码获得会话标识数据并利用移动终端完成身份认证即可实现用户浏览器在Web信息系统或应用系统的安全登录,用户无需在计算机上输入帐户名、口令,从而避免了在公共计算机上输入帐户名、口令导致的帐户名、口令被窃取的风险,而且将用户在不同Web信息系统或应用系统的身份凭证保存在移动终端中也给用户进行登录操作带来方便。     

Web环境下的SSO实现模式的研究

针对单点登录（SSO）这一传统难题,该文分析比较了各种SSO设计模型的优缺点,利用Web应用这一关键技术,给出了面向Web应用的SSO系统设计方案。该文描述了面向Web应用的SSO系统的设计思想、体系结构以及各个模块的功能和模块之间的关系和交互,详细设计了SSO Gateway、SSO Agent、SSO Auth等三个重要模块。该文创新地结合J2EE Web应用、Web service、JAAS等成熟的技术,为解决单点登录这个安全集成领域中的核心问题之一,设计了一个完整的、可行的、先进的实现方案。读者可以在该文的指导下,结合自身实际情况较为容易地改造现有应用系统,真正实现单点登录的集成。     

基于Web Services单点登录系统的设计与实现

信息化的进一步发展，使企业内部应用系统增多，用户访问这些系统时，需记住多个口令，多次登录，降低了工作效率。针对这个问题，提出了一种基于Web Services的单点登录系统。文中介绍了当前几种单点登录技术，利用Web Services技术实现了跨企业内部应用系统边界的单点登录。详细分析了内嵌于门户系统的单点登录机制．提供了安全的第三方接口，用户只需登录门户系统即可访问任何一个授权应用系统的实现原理与方法。