基于互聯(lián)網(wǎng)網(wǎng)站的安全開發(fā)規(guī)范

1、基于互聯(lián)網(wǎng)網(wǎng)站的安全開發(fā)規(guī)范主 要 內(nèi) 容1前言71.1目的71.2主要參考文檔72常見WEB安全威脅介紹72.1跨站腳本漏洞（XSS）9漏洞說明9漏洞危害10處理說明10示例112.2注入漏洞12漏洞說明12漏洞危害12處理說明12示例122.3HTTP消息頭注入13漏洞說明13漏洞危害13處理說明13示例132.4重定向漏洞14漏洞說明14漏洞危害15處理說明15示例152.5請(qǐng)求偽造(OSRF/CSRF)15漏洞說明15漏洞危害16處理說明16示例172.6文件上傳漏洞17漏洞說明17漏洞危害17處理說明17示例182.7不安全的直接對(duì)象引用18漏洞說明18漏洞危害18處理說明18示例1

2、82.8信息泄漏及不正確的錯(cuò)誤操作19漏洞說明19漏洞危害19處理說明19示例192.9失效證證及會(huì)話管理20漏洞說明20漏洞危害20處理說明20示例212.10不安全的信息存儲(chǔ)及通信21漏洞說明21漏洞危害21處理說明21示例212.11限制URL訪問失效22漏洞說明22漏洞危害22處理說明22示例222.12特殊字符的HTML轉(zhuǎn)換22漏洞說明22漏洞危害22處理說明23示例232.13緩沖區(qū)溢出23漏洞說明23漏洞危害23處理說明23示例233安全開發(fā)規(guī)范233.1用戶登錄處理243.2會(huì)話安全243.3用戶輸入檢查及過濾253.4界面輸出273.5頁面重定向273.6錯(cuò)誤信息處理273.

3、7對(duì)象訪問權(quán)限283.8上傳內(nèi)容檢查283.9敏感信息處理283.10密碼儲(chǔ)存及使用283.11數(shù)據(jù)庫執(zhí)行腳本293.12系統(tǒng)調(diào)用293.13WEB服務(wù)器配置29前言目的本文檔通過介紹目前Web應(yīng)用中的常見漏洞及危害，并收集相關(guān)的漏洞防范手段，旨在讓部門開發(fā)人員提高WEB應(yīng)用安全意識(shí)，并通過安全規(guī)范，明確開發(fā)人員編碼的基本安全要求，提高WEB應(yīng)用系統(tǒng)的安全性。另外，現(xiàn)在的網(wǎng)絡(luò)攻擊技術(shù)新、變化快，本規(guī)范需要部門全體人員不斷的補(bǔ)充、完善。同時(shí)，安全開發(fā)規(guī)范中涉及的要求，也作為測(cè)試的一個(gè)內(nèi)容及依據(jù)。主要參考文檔黑客攻防技術(shù)寶典web實(shí)戰(zhàn)篇常見WEB安全威脅介紹常見的對(duì)于WEB應(yīng)用的威脅有以下幾種：W

4、eb應(yīng)用安全威脅種類威脅實(shí)施途徑導(dǎo)致結(jié)果Code Scanning (Server/Client)源代碼掃描（服務(wù)端/客戶端）Browsing source code瀏覽源代碼Learn Vulnerabilities收集信息，了解目標(biāo)弱點(diǎn)Cookie PoisoningCookie 中毒Changing cookie content改變cookie內(nèi)容User Impersonation扮演成為其他用戶身份Hidden Manipulation隱藏域值篡改Changing hidden HTML fields value 改變HTML隱藏域值eShoplifting 電子商品偷竊Forcef

5、ul Site Browsing強(qiáng)行瀏覽Use URL address line使用URL地址行Access sensitive data訪問敏感數(shù)據(jù)Third Party Misconfigurations第三方誤配置Default or improper software configuration 缺省或者不正確的軟件配置Access OS or data訪問OS或者數(shù)據(jù)Identified(Known) Vulnerabilities已知漏洞Published vendor bugs已公布的廠商軟件漏洞Access OS,Crash server/app/DB,access sensi

6、tive data訪問OS或者敏感數(shù)據(jù)，甚至搗毀服務(wù)器/應(yīng)用程序/數(shù)據(jù)庫Buffer Overflow緩沖區(qū)溢出Overflow field input 溢出輸入域Access sensitive data,Or crash site/application訪問敏感數(shù)據(jù)或者搗毀站點(diǎn)/應(yīng)用程序Debug Options&Backdoors調(diào)試選項(xiàng)&后門程序Change code setting改變通用代碼設(shè)置Access code/application asDeveloper or admin以開發(fā)者或者管理員身份訪問代碼/應(yīng)用程序Parameter Tampering

7、0;Server/Client參數(shù)篡改（服務(wù)端/客戶端）Removal or alteration ofexpected parameter fields更改處理程序所期望得到的參數(shù)域值A(chǔ)ccess OS or sensitive data訪問OS或者敏感數(shù)據(jù)Stealth Commanding隱蔽指令執(zhí)行Use Meta code使用命令?yuàn)A帶/附加執(zhí)行模式Access Os or control Application at OS level訪問OS或者在OS級(jí)別控制應(yīng)用程序Cross Site Scripting跨站腳本Use URL Meta code to insert Trojan

8、code 利用URL夾帶/附加執(zhí)行腳本模式嵌入特羅伊代碼Server-side exploitation,Access sensitive data訪問服務(wù)端敏感數(shù)據(jù)或者威脅客戶本地安全Application DoS應(yīng)用層拒絕服務(wù)Invalid data input不可法數(shù)據(jù)輸入Crash server/application搗毀服務(wù)器/應(yīng)用程序跨站腳本漏洞（XSS）漏洞說明XSS又叫CSS  (Cross Site Script) ，跨站腳本攻擊，指當(dāng)應(yīng)用程序提取用戶提供的數(shù)據(jù)并發(fā)送到Web瀏覽器，數(shù)據(jù)內(nèi)容沒有先經(jīng)過驗(yàn)證或編碼時(shí)（如：在require的輸入?yún)?shù)中增加javascri

9、pt腳本、HTML代碼），當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，腳本可能會(huì)劫持用戶會(huì)話、破壞Web站點(diǎn)或引入蠕蟲等。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性?？缯灸_本漏洞的種類、方式也有多種如反射型、保存型、鏈接型等，跨站腳本也是目前最普遍的Web漏洞。漏洞危害雖然此漏洞不會(huì)直接影響WEB網(wǎng)站，但攻擊者通常會(huì)在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶可通過惡意欺騙/釣魚攻擊模式誘導(dǎo)正常用戶訪問惡意URL實(shí)現(xiàn)盜取/

10、污染cookie、Xss蠕蟲/掛償償馬、盜取用戶帳戶、修改用戶設(shè)置、做虛假廣告等，攻擊步驟：HTML注入，劫持用戶的瀏覽器，如：注入一個(gè)JavaScript彈出式的警告框：a_lert(1)；做壞事：如果您覺得警告框還不夠刺激，當(dāng)受害者點(diǎn)擊了一個(gè)被注入了HTML代碼的頁面鏈接時(shí)攻擊者能作的各種的惡意事情：如獲取用戶Cookie/Session等敏感信息、篡改用戶資料； 處理說明用戶可控制的數(shù)據(jù)未經(jīng)適當(dāng)確認(rèn)與凈化就被復(fù)制到應(yīng)用程序響應(yīng)中，這是造成漏洞的根本原因，因此需要對(duì)用戶輸入、輸出的請(qǐng)求數(shù)據(jù)進(jìn)行過濾處理：對(duì)動(dòng)態(tài)生成的頁面的字符進(jìn)行編碼；驗(yàn)證所有輸入數(shù)據(jù)，有效檢測(cè)攻擊，某個(gè)數(shù)據(jù)被接受為可被顯示

11、或存儲(chǔ)之前，使用標(biāo)準(zhǔn)輸入驗(yàn)證機(jī)制，驗(yàn)證所有輸入數(shù)據(jù)的長度、類型、語法、敏感字符(% < > ; & + - " '( )并進(jìn)行相應(yīng)的轉(zhuǎn)義等。如：在request輸入?yún)?shù)取出時(shí)通過過濾器或者各頁面先判斷參數(shù)中是否含有”<script”開頭的數(shù)據(jù),如果有,直接過濾掉或轉(zhuǎn)到錯(cuò)誤頁面；但僅僅查找或替換一些字符(如"<" ">"或類似"script"的關(guān)鍵字)，很容易被XSS變種攻擊繞過驗(yàn)證機(jī)制。往往我們只在客戶端檢驗(yàn)數(shù)據(jù)類型和有效性，但是非法用戶可以通過工具以post或get傳不符合規(guī)范

12、參數(shù)給我們指定的接受數(shù)據(jù)頁面或服務(wù)，可能導(dǎo)致非法用戶把錯(cuò)誤和無效的信息和數(shù)據(jù)寫入我們的數(shù)據(jù)庫，因此在客戶端校驗(yàn)的基礎(chǔ)上還需要進(jìn)行服務(wù)器端的數(shù)據(jù)校驗(yàn)。對(duì)上傳文件名或上傳文件格式進(jìn)行嚴(yán)格驗(yàn)證、限制 對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成功注入的腳本在瀏覽器端運(yùn)行。示例例1：POST: msg=%25E5%259B%25BE%25E5%25BD%25A2%25E9%25AA%258C%25E8%25AF%2581%25E7%25A0%2581%25E8%25BE%2593%25E5%2585%25A5%25E9%2594%2599%25E8%25AF%25AF.</textarea>

13、;<script>alert(55219)</script>例2：某論壇對(duì)上傳文件名沒有做嚴(yán)格的限制，可以用作為文件名上傳文件。這樣，黑客可以用腳本的形式上傳文件，其它用戶一旦瀏覽貼子，就會(huì)執(zhí)行其中的腳本文件。比如當(dāng)黑客用以下腳本作為文件名上傳到論壇：當(dāng)用戶瀏覽貼子時(shí)，用戶瀏覽器將自動(dòng)執(zhí)行上的xss.js腳本。xss.js腳本可能是木馬或病毒文件，對(duì)用戶電腦中數(shù)據(jù)進(jìn)行竊取或破壞。 注入漏洞漏洞說明注入漏洞，特別是SQL注入，就是通過將SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)攻擊者的惡意數(shù)據(jù)欺騙翻譯器執(zhí)行非用戶本意的命令或改變數(shù)據(jù)。致SQL注

14、入攻擊的漏洞并非系統(tǒng)造成的，主要是程序員在編程中忽略了安全因素，它的原理并不復(fù)雜，如：后臺(tái)數(shù)據(jù)庫允許動(dòng)態(tài)SQL語句的執(zhí)行，前臺(tái)應(yīng)用程序沒有對(duì)用戶輸入的數(shù)據(jù)或者頁面提交的信息(如POST,GET)進(jìn)行必要的安全檢查，就會(huì)造成SQL的注入威脅。漏洞危害非法查詢其它數(shù)據(jù)庫資源，獲得數(shù)據(jù)庫一些相關(guān)信息。處理說明盡量使用預(yù)編譯（prepareStatement）來執(zhí)行數(shù)據(jù)庫、設(shè)置參數(shù)值，并且SQL語句中不出現(xiàn)參數(shù)。示例如查詢頁面根據(jù)而后臺(tái)查詢語句是select * from 表名 where 字段 = XXXX盡量使用select * from 表名 where 字段 = ？或:param_name來預(yù)

15、編譯；否則非法用戶可以輸入 or 1=1來實(shí)現(xiàn)注入獲取信息。HTTP消息頭注入漏洞說明包括：注入cookie、傳送其它攻擊、HTTP響應(yīng)分割，如果用戶控制的數(shù)據(jù)以不安全的方式插入到應(yīng)用程序返回的HTTP消息頭中，就會(huì)出現(xiàn)HTTP消息頭注入漏洞。如果攻擊者能夠在他控制的消息頭中注入換行符（輸入?yún)?shù)中增加%0d%0a），他就能在響應(yīng)中插入其他HTTP消息頭，并在響應(yīng)主體中寫入任意內(nèi)容。漏洞危害可能會(huì)通過 Web 高速緩存投毒損壞站點(diǎn)內(nèi)容，可能會(huì)竊取或操縱客戶會(huì)話和 cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。處理說明1)在require如果是g

16、et方式傳送參數(shù)的, 判斷getQueryString()返回?cái)?shù)據(jù)中是否含有%0d或%0a; 如果有,直接過濾掉或轉(zhuǎn)到錯(cuò)誤頁面2) 在require如果是post方式傳送參數(shù)的,在獲得數(shù)據(jù)后如果要根據(jù)require的參數(shù)重組一個(gè)url進(jìn)行跳轉(zhuǎn)個(gè)面時(shí)先要將字符串用URLEncoder.encode()進(jìn)行編碼。示例這種漏洞最常見于Location與Set-Cookie消息頭中，但也會(huì)出現(xiàn)在其他HTTP消息頭中。應(yīng)用程序提取用戶提交的輸入，并將它插入到響應(yīng)碼為3xx的Location消息頭中。同樣，一些應(yīng)用程序提取用戶提交的輸入，把它插入一個(gè) cookie 值中。在上述任何一種情況下，攻擊者都可以

17、使用回車符（0x0d）或換行符（0x0a）構(gòu)造一個(gè)專門設(shè)計(jì)的請(qǐng)求，在他們控制的消息頭中注入一個(gè)換行符，從而在下面的行中注入其他數(shù)據(jù)。例：URL：參數(shù)：staff_id, verify_code, password_code測(cè)試值：Foobar%3f%0d%0aAppScanHeader:%20AppScanValue%2f1%2e2%2d3%0d%0aSecondAppScanHeader:%20whatever以下更改已應(yīng)用到原始請(qǐng)求：重定向漏洞漏洞說明應(yīng)用程序提取用戶可控制的輸入，并使用這個(gè)數(shù)據(jù)執(zhí)行一個(gè)重定向，指示用戶的瀏覽器訪問一個(gè)不同于用戶要求的URL，那么就會(huì)造成重定向漏洞。漏洞危害

18、攻擊者主要利用重定向漏洞實(shí)施釣魚攻擊，誘使受害者訪問一個(gè)欺騙性Web站點(diǎn)并輸入敏感信息。處理說明絕不將用戶提交的數(shù)據(jù)合并到重定向目標(biāo)中是避免重定向漏洞的最有效方法；從應(yīng)用程序中刪除重定向頁面，用直接指向相關(guān)目標(biāo)URL的鏈接替代指向重定向頁面的鏈接；建立一個(gè)包含所有有效重定向URL的列表。不以參數(shù)的形式向重定向頁面?zhèn)魉湍繕?biāo) URL，相反，傳送這個(gè)列表的一個(gè)索引。重定向頁面應(yīng)在它的列表中查詢這個(gè)索引，并返回一個(gè)指向相關(guān)URL的重定向。應(yīng)用程序應(yīng)在所有重定向中使用相對(duì) URL，重定向頁面應(yīng)嚴(yán)格確認(rèn)它收到的URL是一個(gè)相對(duì)URL。它應(yīng)當(dāng)確認(rèn)：用戶提交的URL或者以單獨(dú)一個(gè)斜線字符、后接一個(gè)字母開頭，或

19、者以一個(gè)字母開頭，并且在第一個(gè)斜線前沒有冒號(hào)。應(yīng)拒絕而不是凈化任何其他輸入。示例一個(gè)常見的示例是，應(yīng)用程序強(qiáng)制會(huì)話已經(jīng)終止的用戶返回登錄頁面，然后在用戶重新成功通過驗(yàn)證后將他們重定向到最初的URL。如果遇到這種行為，就表明應(yīng)用程序可能易于受到重定向攻擊，因此，應(yīng)當(dāng)對(duì)這種行為進(jìn)行深入分析，以確定它是否可被攻擊者利用。請(qǐng)求偽造(OSRF/CSRF)漏洞說明這種類型的攻擊也稱為會(huì)話疊置與會(huì)話劫持攻擊密切相關(guān)，在攻擊過程中，攻擊者截獲一名用戶的會(huì)話令牌，因而能夠"作為"該用戶使用應(yīng)用程序。但是，通過請(qǐng)求偽造，攻擊者根本不需要知道受害者的會(huì)話令牌而是利用Web瀏覽器的正常行為劫持一名

20、用戶的令牌，通過它提出用戶并不想提出的請(qǐng)求。 請(qǐng)求偽造漏洞分為兩種類型：本站點(diǎn)請(qǐng)求偽造與跨站點(diǎn)請(qǐng)求偽造。本站點(diǎn)請(qǐng)求偽造（on-site request forgery，OSRF）是一種利用保存型XSS漏洞的常見攻擊有效載荷。例如，在MySpace蠕蟲中，Samy 在自己的用戶資料中插入了一段腳本，致使任何查看它的用戶在不知情的情況下執(zhí)行各種操作。另外，即使在XSS漏洞并不存在的地方，保存型OSRF漏洞仍有可能存在，這一點(diǎn)常被人們忽視。CSRF是Cross Site Request Forgery的縮寫（也縮寫為XSRF），即跨站請(qǐng)求偽造，目前流行的 CSRF攻擊主要是由攻擊者在網(wǎng)頁中植入惡意代

21、碼或連接，當(dāng)受害人的瀏覽器執(zhí)行惡意代碼或者受害人點(diǎn)擊連接后，攻擊者就可以訪問那些被害人身份驗(yàn)證后的網(wǎng)絡(luò)應(yīng)用。如果被害人采用多窗口瀏覽器，攻擊者就可以以被害人身份控制瀏覽器中任何一個(gè)窗口中的Web應(yīng)用。漏洞危害HTTP會(huì)話劫持，攻擊者強(qiáng)制受害者的瀏覽器執(zhí)行一個(gè)對(duì)攻擊者有利的惡意行為。一般網(wǎng)站是通過cookie來識(shí)別用戶的，當(dāng)用戶成功進(jìn)行身份驗(yàn)證之后瀏覽器就會(huì)得到一個(gè)標(biāo)識(shí)其身份的cookie，只要不關(guān)閉瀏覽器或者退出登錄，以后訪問這個(gè)網(wǎng)站會(huì)帶上這個(gè)cookie。如果這期間瀏覽器被人控制著請(qǐng)求了這個(gè)網(wǎng)站的url，可能就會(huì)執(zhí)行一些用戶不想做的功能（比如修改個(gè)人資料）。處理說明不要完全依賴于cookie

22、傳送會(huì)話令牌，就可以防止XSRF攻擊，如：電子銀行這些最為注意安全的應(yīng)用程序常常使用HTML表單中的隱藏字段傳送會(huì)話令牌。當(dāng)每次提交請(qǐng)求時(shí)，應(yīng)用程序除確認(rèn)會(huì)話 cookie 外，還核實(shí)表單是否傳送了正確的令牌；通過要求用戶完成幾個(gè)步驟、以執(zhí)行相關(guān)的敏感操作阻止 XSRF 攻擊的防御措施，應(yīng)用程序必須在多步驟處理過程中使用某種令牌且保證這個(gè)令牌的安全。如：在第一個(gè)階段，應(yīng)用程序在一個(gè)隱藏表單字段中放入一個(gè)令牌；在第二個(gè)階段，它確認(rèn)這個(gè)令牌是否被提交。由于XSRF攻擊是單向性的，因此實(shí)施攻擊的Web站點(diǎn)無法從第一個(gè)階段獲得令牌，然后在第二個(gè)階段提交。示例如：比如要攻擊一個(gè)存在問題的blog，那就先

23、去目標(biāo)blog留言，留下一個(gè)網(wǎng)址，誘其主人點(diǎn)擊過來，然后構(gòu)造個(gè)HTML表單提交些數(shù)據(jù)過去。這時(shí)對(duì)于多窗口瀏覽器（firefox、遨游、MyIE）便捷的同時(shí)也帶來了一些問題，因?yàn)槎啻翱跒g覽器新開的窗口是具有當(dāng)前所有會(huì)話的。即我用IE登陸了我的Blog，然后我想看新聞了，又運(yùn)行一個(gè)IE進(jìn)程，這個(gè)時(shí)候兩個(gè)IE窗口的會(huì)話是彼此獨(dú)立的，從看新聞的IE發(fā)送請(qǐng)求到Blog不會(huì)有我登錄的cookie；但是多窗口瀏覽器永遠(yuǎn)都只有一個(gè)進(jìn)程，各窗口的會(huì)話是通用的，即看新聞的窗口發(fā)請(qǐng)求到Blog是會(huì)帶上我在blog登錄的cookie。想一想，當(dāng)我們用鼠標(biāo)在Blog/BBS/WebMail點(diǎn)擊別人留下的鏈接的時(shí)候，說不

24、定一場(chǎng)精心準(zhǔn)備的CSRF攻擊正等著我們。文件上傳漏洞漏洞說明利用當(dāng)前WEB系統(tǒng)已有的上傳功能，比如文件上傳、圖像上傳等的漏洞來上傳任意文件或者webshell。漏洞危害直接上傳webshell到服務(wù)器，甚至獲取服務(wù)器的root權(quán)限。處理說明后綴檢查不嚴(yán)引起的上傳任意文件，主要為jsp和war后綴文件，需要進(jìn)行限制；采用白名單嚴(yán)格限制上傳類型。示例無不安全的直接對(duì)象引用漏洞說明當(dāng)開發(fā)人員把一個(gè)引用暴露給內(nèi)部執(zhí)行對(duì)象時(shí)，如一個(gè)文件、目錄、數(shù)據(jù)庫記錄或鍵值、URL或格式參數(shù)，可能發(fā)生直接對(duì)象引用。攻擊者可以操縱這些引用訪問其它未經(jīng)認(rèn)證的對(duì)象，即指一個(gè)已經(jīng)授權(quán)的用戶，通過更改訪問時(shí)的一個(gè)參數(shù)，從而訪問

25、到了原本其并沒有得到授權(quán)的對(duì)象。Web應(yīng)用往往在生成Web頁面時(shí)會(huì)用它的真實(shí)名字，且并不會(huì)對(duì)所有的目標(biāo)對(duì)象訪問時(shí)來檢查用戶權(quán)限，所以這就造成了不安全的對(duì)象直接引用的漏洞。漏洞危害攻擊者可以操縱這些引用訪問其它未經(jīng)認(rèn)證的對(duì)象?？赡茉斐赡夸洷闅v漏洞。處理說明控制應(yīng)用程序的訪問權(quán)限；使用非直接的對(duì)象引用這防止了攻擊者直接訪問其并未授權(quán)的對(duì)象，通過一種mapping或是其他的方法讓攻擊者無法直接訪問。 檢查訪問對(duì)每一個(gè)來自于不信任的源的直接對(duì)象引用都必須包含訪問控制檢查，從而確信該用戶對(duì)該對(duì)象擁有訪問權(quán)。示例如由于網(wǎng)站沒有對(duì)URL地址欄中輸入的內(nèi)容進(jìn)行有效的限制，攻擊者可以在URL地址后加入

26、特殊的字符，如“./”，來對(duì)WEB站點(diǎn)中的實(shí)際對(duì)象，如文件、目錄等進(jìn)行查看，甚至可以對(duì)它們進(jìn)行修改和刪除。信息泄漏及不正確的錯(cuò)誤操作漏洞說明WEB應(yīng)用程序可能通過各類應(yīng)用程序問題無意中泄漏其配置、內(nèi)部動(dòng)作情況或侵害機(jī)密數(shù)據(jù)的信息。WEB應(yīng)用程序還會(huì)通過不正當(dāng)?shù)腻e(cuò)誤信息處理，將站點(diǎn)內(nèi)部組成結(jié)構(gòu)及服務(wù)器、數(shù)據(jù)庫類型泄漏給攻擊者。如果WEB站點(diǎn)開發(fā)人員不對(duì)這些方面進(jìn)行通用信息處理，就有可能存在這個(gè)漏洞。漏洞危害攻擊者利用這個(gè)弱點(diǎn)偷竊敏感數(shù)據(jù)或傳入更多嚴(yán)重的攻擊?？赡茉斐赡夸洷闅v漏洞。處理說明url地址參數(shù)使用get方式傳送時(shí)，有時(shí)我們一般會(huì)使用一些有意義，顯而易見的參數(shù)值；可能導(dǎo)致非法用戶通過參數(shù)值

27、猜想我們系統(tǒng)有效數(shù)據(jù)。盡量使用數(shù)值或者無意義的參數(shù)作為url地址使用get方式傳送參數(shù)；物理路徑泄漏：避免Web服務(wù)器的某些顯示環(huán)境變量的程序錯(cuò)誤的輸出了Web服務(wù)器的物理路徑；避免Web服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的物理信息泄漏。等等。示例如通過提交一個(gè)超長的請(qǐng)求，或者是某個(gè)精心構(gòu)造的特殊請(qǐng)求，或是請(qǐng)求一個(gè)Web服務(wù)器上不存在的文件。失效證證及會(huì)話管理漏洞說明如果WEB站點(diǎn)沒有對(duì)用戶賬戶、會(huì)話令牌進(jìn)行嚴(yán)格的認(rèn)證及保護(hù)，以及對(duì)用戶與站點(diǎn)之間的會(huì)話進(jìn)行安全連接，或者沒有妥善處理它們之間會(huì)話的生命周期，那么就有可能存在用戶被劫持和會(huì)話內(nèi)容泄漏或被利用的風(fēng)險(xiǎn)。此漏洞也是所有WEB應(yīng)用框架都存在的安全漏

28、洞。漏洞危害攻擊者使用密碼、密鑰或認(rèn)證令牌偽裝其它用戶的身份。處理說明建立一個(gè)無法預(yù)測(cè)的安全令牌后，就必須在這個(gè)令牌生成到廢止的整個(gè)生命周期中保障它的安全，確保不會(huì)將其泄露給除令牌用戶以外的其他任何人。會(huì)話生命周期管理：（1）會(huì)話創(chuàng)建的嚴(yán)格驗(yàn)證；(2)會(huì)話退出：應(yīng)總是執(zhí)行退出功能，通過它刪除服務(wù)器上的所有會(huì)話資源并終止會(huì)話令牌；(3)會(huì)話有效性：處于非活動(dòng)狀態(tài)一段時(shí)間（如10分鐘）后，應(yīng)執(zhí)行會(huì)話終止；（4）應(yīng)防止并行登錄，每次一名用戶登錄，都應(yīng)發(fā)布一個(gè)新會(huì)話令牌，同時(shí)廢止任何屬于該用戶的現(xiàn)有會(huì)話；應(yīng)采取特殊措施保護(hù)會(huì)話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。如：不能以明文形式傳送的

29、令牌；絕不能在URL中傳送會(huì)話令牌，因?yàn)檫@樣做易于受到會(huì)話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中最好是對(duì)所有導(dǎo)航使用POST請(qǐng)求實(shí)現(xiàn)這一目的，并將令牌保存在HTML表單隱藏字段中。不完全依賴HTTP cookie 傳送會(huì)話令牌可防御跨站點(diǎn)請(qǐng)求偽造攻擊。應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會(huì)話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面。任何時(shí)候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個(gè)新的會(huì)話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個(gè)人或其他敏感信息時(shí)。示例略不安全的信息存儲(chǔ)及通信漏洞說明大多數(shù)WEB應(yīng)用程序

30、都使用加密技術(shù)來保護(hù)敏感數(shù)據(jù)的安全。但是，還有一些WEB站點(diǎn)卻使用簡單的不合理的加密技術(shù)來保護(hù)敏感數(shù)據(jù)，有的甚至根本沒有使用任何加密技術(shù)，這些方式都有可能造成機(jī)密的數(shù)據(jù)被查看、修改、復(fù)制或刪除。另外，當(dāng)用戶與WEB站點(diǎn)進(jìn)行通信時(shí)，如果不對(duì)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包時(shí)行加密傳輸，就有可能被攻擊通過以網(wǎng)絡(luò)嗅探的方式截獲，從而引起嚴(yán)重的安全事件?，F(xiàn)在一種普遍的WEB內(nèi)容加密通信方式就是使用SSL(也就是安全套接字)。漏洞危害攻擊者通過缺乏有效保護(hù)的數(shù)據(jù)來竊取身份及其它犯罪行為。處理說明對(duì)敏感數(shù)據(jù)需要進(jìn)行保護(hù)，如：加密；對(duì)關(guān)鍵的數(shù)據(jù)傳輸采用加密傳輸。示例無限制URL訪問失效漏洞說明通常，一個(gè)沒有授權(quán)并且沒有

31、通過驗(yàn)證的用戶是不可能打開一個(gè)受保護(hù)的網(wǎng)頁的。但是，如果WEB站點(diǎn)使用了錯(cuò)誤的RRL訪問控制規(guī)則，那么，一個(gè)有明確動(dòng)機(jī)且技術(shù)高超的攻擊者就有可能利用這個(gè)漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù)。漏洞危害攻擊者就有可能利用這個(gè)漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù)。處理說明正確配置WEB站點(diǎn)的訪問控制策略，以便將所有可能的非法訪問者在打開網(wǎng)頁全部拒之門外。示例無特殊字符的HTML轉(zhuǎn)換漏洞說明數(shù)據(jù)庫讀取一些<div>標(biāo)簽或特殊字符(如單引號(hào)等)在頁面直接展示；漏洞危害使直接頁面輸出值時(shí)頁面樣式走樣。處理說明盡量先把特殊字符做HTML字符轉(zhuǎn)換示例

32、無緩沖區(qū)溢出漏洞說明緩沖區(qū)溢出漏洞想必大家都很熟悉，無非是Web服務(wù)器沒有對(duì)用戶提交的超長請(qǐng)求沒有進(jìn)行合適的處理，這種請(qǐng)求可能包括超長URL，超長HTTP Header域，或者是其它超長的數(shù)據(jù)。漏洞危害可能造成程序崩潰或者執(zhí)行攻擊者的命令。處理說明1、及時(shí)打上WEB軟件、操作系統(tǒng)補(bǔ)??；2、對(duì)用戶提交的數(shù)據(jù)進(jìn)行長度判斷。示例無安全開發(fā)規(guī)范結(jié)合常見WEB安全漏洞，對(duì)部門日?；诨ヂ?lián)網(wǎng)網(wǎng)站的代碼開發(fā)，提出以下規(guī)范要求。用戶登錄處理登錄程序需要對(duì)用戶輸入的用戶名及口令仔細(xì)進(jìn)行有效性校驗(yàn)；對(duì)用戶提交一些登錄數(shù)據(jù)進(jìn)行合法性驗(yàn)證，過濾掉一些特殊字符，主要有%<>&+-"'

33、;()，%主要是為了過濾%20前的一些非可見字符引發(fā)的問題，如回車(%0a)、換行符(%0d)、空字符(%00)，<>是為了過濾HTML和JAVASCRIPT腳本注入，% ; & + - " '( ) 主要是為了防止SQL腳本注入；要求登錄驗(yàn)證必須采用圖片驗(yàn)證碼方式；對(duì)于口令驗(yàn)證過程，建議采用下列方式：根據(jù)提交的用戶名在數(shù)據(jù)庫中查找記錄，如果沒有則出錯(cuò)返回，如果有該用戶，轉(zhuǎn)步驟<2>；將得到的記錄中的口令部分與用戶輸入的口令進(jìn)行字符串比較，如果一致則允許通過，否則出錯(cuò)返回。注意：不要在一條select語句中同時(shí)完成對(duì)用戶/口令的驗(yàn)證，以增加潛在

34、的危險(xiǎn)攻擊的難度。會(huì)話安全建立一個(gè)無法預(yù)測(cè)的安全令牌后，在這個(gè)令牌生成到廢止的整個(gè)生命周期中保障它的安全，確保不會(huì)將其泄露給除令牌用戶以外的其他任何人；會(huì)話生命周期管理：（1）會(huì)話創(chuàng)建的嚴(yán)格驗(yàn)證；(2)會(huì)話退出：應(yīng)總是執(zhí)行退出功能，通過它刪除服務(wù)器上的所有會(huì)話資源并終止會(huì)話令牌；(3)會(huì)話有效性：處于非活動(dòng)狀態(tài)一段時(shí)間（如10分鐘）后，應(yīng)執(zhí)行會(huì)話終止；（4）應(yīng)防止并行登錄，每次一名用戶登錄，都應(yīng)發(fā)布一個(gè)新會(huì)話令牌，同時(shí)廢止任何屬于該用戶的現(xiàn)有會(huì)話；應(yīng)采取特殊措施保護(hù)會(huì)話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。如：不能以明文形式傳送的令牌；絕不能在URL中傳送會(huì)話令牌，因?yàn)檫@樣做易于

35、受到會(huì)話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中；最好是對(duì)所有導(dǎo)航使用POST請(qǐng)求實(shí)現(xiàn)這一目的，并將令牌保存在HTML表單隱藏字段中；不完全依賴HTTP cookie 傳送會(huì)話令牌可防御跨站點(diǎn)請(qǐng)求偽造攻擊。應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會(huì)話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面。任何時(shí)候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個(gè)新的會(huì)話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個(gè)人或其他敏感信息時(shí)。用戶輸入檢查及過濾目前網(wǎng)站安全最常見的問題，就是注入和XSS攻擊，而這兩個(gè)攻擊的源頭，都來自于沒有妥善過

36、濾由使用者傳來的數(shù)據(jù)，除了輸入數(shù)據(jù)之外，包含cookie、參數(shù)都可能成為黑客利用的工具。 因此要求對(duì)用戶輸入提交的內(nèi)容進(jìn)行嚴(yán)格過濾：要求對(duì)用戶輸入內(nèi)容進(jìn)行業(yè)務(wù)內(nèi)容合法性檢查；對(duì)用戶提交的數(shù)據(jù)進(jìn)行長度判斷；要求在WEB前端、WEB后端均需要進(jìn)行數(shù)據(jù)檢查。客戶輸入的原始數(shù)據(jù)進(jìn)行校驗(yàn)不要完全依賴于Script。腳本是不安全的，用戶可能屏蔽腳本，因引要求在客戶端合法性檢查的基礎(chǔ)上，還需要將用戶數(shù)據(jù)送入服務(wù)器端，在服務(wù)器上驗(yàn)證字符串的合法性。拒絕任何以斜線開始的內(nèi)容; 斜線意味著“相對(duì)于根”或絕對(duì)路徑。用戶很少需要訪問web根目錄之外的數(shù)據(jù)，這樣他們使用的路徑就是相對(duì)于web根目錄，而不是絕對(duì)

37、路徑，為安全起見，有必要拒絕任何以斜線開始的內(nèi)容；拒絕任何包含單個(gè)點(diǎn)（.）和兩個(gè)點(diǎn)（.）的序列的內(nèi)容在路徑中單個(gè)點(diǎn)（.）和兩個(gè)點(diǎn)（.）的序列有特殊含義。單點(diǎn)意味著“相對(duì)于當(dāng)前目錄”，而雙點(diǎn)意味著“相對(duì)于當(dāng)前目錄的父目錄”。有些人可以建立象./././etc/passwd這樣的串逆向三層，然后向下進(jìn)入/etc/passwd文件，從而對(duì)系統(tǒng)安全造成極大威脅；在把用戶提交的數(shù)據(jù)傳送給系統(tǒng)之前，過濾掉如下字符：1 |（豎線符號(hào)）2 & （& 符號(hào)）3;（分號(hào)）4 $（美元符號(hào)）5 %（百分比符號(hào)）6 （at 符號(hào)）7 '（單引號(hào)）8 "（引號(hào)）9 '（反斜杠轉(zhuǎn)

38、義單引號(hào)）10 "（反斜杠轉(zhuǎn)義引號(hào)）11 <>（尖括號(hào)）12 ()（括號(hào)）13 +（加號(hào)）14 CR（回車符，ASCII 0x0d）15 LF（換行，ASCII 0x0a）16 ,（逗號(hào)）17 （反斜杠）還有：* ! # :如：HTML的輸入標(biāo)識(shí)符中去除所有輸入的尖括號(hào)'<' ' >'；仔細(xì)檢查輸入語句，一般情況拒絕如下命令：rm fmail delete /etc/passwd或其它對(duì)系統(tǒng)有威脅的操作。對(duì)數(shù)值型變量，首先要判斷其內(nèi)容是不是真的數(shù)值型，如果不是，就進(jìn)行出錯(cuò)處理。界面輸出對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成

39、功注入的腳本在瀏覽器端運(yùn)行。頁面重定向盡量不將用戶提交的數(shù)據(jù)合并到重定向目標(biāo)中；從應(yīng)用程序中刪除重定向頁面，用直接指向相關(guān)目標(biāo)URL的鏈接替代指向重定向頁面的鏈接；建立一個(gè)包含所有有效重定向URL的列表。不以參數(shù)的形式向重定向頁面?zhèn)魉湍繕?biāo) URL，相反，傳送這個(gè)列表的一個(gè)索引。重定向頁面應(yīng)在它的列表中查詢這個(gè)索引，并返回一個(gè)指向相關(guān)URL的重定向。應(yīng)用程序應(yīng)在所有重定向中使用相對(duì) URL，重定向頁面應(yīng)嚴(yán)格確認(rèn)它收到的URL是一個(gè)相對(duì)URL。它應(yīng)當(dāng)確認(rèn)：用戶提交的URL或者以單獨(dú)一個(gè)斜線字符、后接一個(gè)字母開頭，或者以一個(gè)字母開頭，并且在第一個(gè)斜線前沒有冒號(hào)。應(yīng)拒絕而不是凈化任何其他輸入。對(duì)于確需

40、要根據(jù)用戶輸入數(shù)據(jù)進(jìn)行重組生成一個(gè)url進(jìn)行，進(jìn)行頁面重定向的，跳轉(zhuǎn)個(gè)面時(shí)先要將字符串用URLEncoder.encode()進(jìn)行編碼。錯(cuò)誤信息處理有許多程序開發(fā)人員對(duì)于錯(cuò)誤處理不夠細(xì)心，導(dǎo)致腳本語法或數(shù)據(jù)庫發(fā)生錯(cuò)誤時(shí)，直接讓錯(cuò)誤碼呈現(xiàn)在瀏覽器，錯(cuò)誤信息對(duì)一般的使用者沒什么意義，但往往會(huì)給黑客帶來許多參考價(jià)值。在開發(fā)過程中，往往設(shè)定輸出一些出錯(cuò)信息，或者借助系統(tǒng)的出錯(cuò)信息對(duì)程序進(jìn)行調(diào)試。在提交測(cè)試后，要求注意替換這些出錯(cuò)誤提示信息，以免泄露一些重要的信息給惡意攻擊者。特別時(shí)在程序測(cè)試階段，一定要注意用戶輸入錯(cuò)誤數(shù)據(jù)后程序的運(yùn)行結(jié)果及報(bào)錯(cuò)信息等。為了不讓教多了十分小心地正在做登錄時(shí)的錯(cuò)誤信息弄錯(cuò)

41、什么了。面向用戶的錯(cuò)誤信息不應(yīng)該給的太足，以免用戶由此推斷出程序的內(nèi)部結(jié)構(gòu)的相關(guān)信息。對(duì)WEB站點(diǎn)所返回的錯(cuò)誤信息應(yīng)當(dāng)以最通用的方式表示，盡量不顯露出服務(wù)器物理路徑、操作系統(tǒng)版本和數(shù)據(jù)庫等信息。對(duì)象訪問權(quán)限控制應(yīng)用程序的訪問權(quán)限，如針對(duì)每個(gè)業(yè)務(wù)界面都判斷權(quán)限，沒有權(quán)限的直接跳轉(zhuǎn)到錯(cuò)誤提示界面；使用非直接的對(duì)象引用這防止了攻擊者直接訪問其并未授權(quán)的對(duì)象，通過一種mapping或是其他的方法讓攻擊者無法直接訪問，比如用戶號(hào)碼不在URL中直接傳遞，而是通過調(diào)用父窗口中的某個(gè)方法取得，避免攻擊者直接修改URL串的信息，意外得到其他用戶的信息；檢查訪問對(duì)每一個(gè)來自于不信任的源的直接對(duì)象引用都必須包含訪問

42、控制檢查，從而確信該用戶對(duì)該對(duì)象擁有訪問權(quán)，比如判斷當(dāng)前傳入的用戶號(hào)碼和已經(jīng)登錄的用戶號(hào)碼是否一致，如果不一致，則認(rèn)為是漏洞攻擊。上傳內(nèi)容檢查嚴(yán)格檢查上傳文件的類型，對(duì)jsp和war后綴文件，需要進(jìn)行限制；采用白名單嚴(yán)格限制上傳類型。敏感信息處理關(guān)鍵的重要的數(shù)據(jù)參數(shù)發(fā)送時(shí)不要出現(xiàn)在URL中；hidden字段的數(shù)據(jù)不能修改傳遞（hidden的值不能被顯示，但是會(huì)被傳遞并且在html源文件中可以查看值，防止其值被修改并傳遞）不要用hidden去取數(shù)據(jù)，建議可以利用session來保存hidden數(shù)據(jù)；有些檔案該刪就刪，例如一些應(yīng)用程序的安裝腳本不要留在系統(tǒng)上，賬號(hào)等相關(guān)的敏感數(shù)據(jù)一定要設(shè)在防止搜尋

43、引擎索引、快取的數(shù)據(jù)夾，或設(shè)定相關(guān)的防索引語法。 密碼儲(chǔ)存及使用密碼不要采用明碼的方式儲(chǔ)進(jìn)數(shù)據(jù)庫，透過像是md5的方式進(jìn)行編碼，讓敏感信息可以受到更好的保障；對(duì)關(guān)鍵的數(shù)據(jù)（如密碼）傳輸采用加密傳輸，如使用SSL安全套接字；密碼使用刪除密碼：如果在應(yīng)用運(yùn)行中有將密碼保存到內(nèi)存或應(yīng)用運(yùn)行生命周期內(nèi)的，應(yīng)在使用后進(jìn)行清空。數(shù)據(jù)庫執(zhí)行腳本對(duì)于java語言代碼，在所有可能的情況下，應(yīng)該使用preparedstatement和動(dòng)態(tài)sql，即用?符號(hào)代表參數(shù)，通過preparedstatement的setxxx(如setint, setstring等)方法設(shè)置參數(shù)，然后執(zhí)行sql語句，不要養(yǎng)成在每

44、次語句執(zhí)行前根據(jù)參數(shù)拼sql語句的習(xí)慣。系統(tǒng)調(diào)用盡量減少system()、popen()之類的系統(tǒng)調(diào)用，特別是這些調(diào)用如果要激活一個(gè)系統(tǒng)shell時(shí)，更應(yīng)該仔細(xì)檢查其安全性，以免被黑客利用。如果不是特別需要，不要使用system()或者popen()這樣的系統(tǒng)調(diào)用，特別是以用戶輸入的數(shù)據(jù)作為這些調(diào)用的參數(shù)的時(shí)候。如果沒有對(duì)用戶輸入數(shù)據(jù)進(jìn)行分析處理，可能會(huì)被用來執(zhí)行系統(tǒng)命令。如果必須使用這些調(diào)用，應(yīng)當(dāng)過濾掉用戶輸入數(shù)據(jù)中存在的危險(xiǎn)字符: ; & < >等等。WEB服務(wù)器配置正確配置WEB站點(diǎn)的訪問控制策略，以便將所有可能的非法訪問者在打開網(wǎng)頁全部拒之門外，比如可以配置過濾器，

45、對(duì)所有頁面進(jìn)行登錄驗(yàn)證碼的校驗(yàn)，無效的驗(yàn)證碼將不允許訪問這些頁面，而是直接跳轉(zhuǎn)到登錄界面。參考： 畢 業(yè) 論 文論文題目學(xué) 院專 業(yè)年 級(jí)姓 名指導(dǎo)教師職 稱（200 年 月）教務(wù)處制畢業(yè)設(shè)計(jì)說明書與畢業(yè)論文撰寫的規(guī)范化要求一篇完整的畢業(yè)設(shè)計(jì)說明書或畢業(yè)論文有題目、摘要及關(guān)鍵詞、目錄、引言（前言）、正文、結(jié)論、謝辭、參考文獻(xiàn)、附錄等幾部分構(gòu)成。要求理工科專業(yè)不少于4000字，文科專業(yè)不少于6000字。一、畢業(yè)設(shè)計(jì)說明書撰寫的主要內(nèi)容與基本要求一份完整的畢業(yè)設(shè)計(jì)說明書應(yīng)包括如下主要內(nèi)容：1題目設(shè)計(jì)課題名稱，要求簡潔、確切、鮮明。2中外文摘要及關(guān)鍵詞應(yīng)扼要敘述本設(shè)計(jì)的主要內(nèi)容、特點(diǎn)，文字要簡練。中

46、文摘要約300字左右；外文摘要約250個(gè)實(shí)詞左右。關(guān)鍵詞35個(gè)。3目錄主要內(nèi)容的目錄。4前言應(yīng)說明本設(shè)計(jì)的目的、意義、范圍及應(yīng)達(dá)到的技術(shù)要求；簡述本課題在國內(nèi)（外）的發(fā)展概況及存在的問題；本設(shè)計(jì)的指導(dǎo)思想；闡述本設(shè)計(jì)應(yīng)解決的主要問題。 5正文（1）設(shè)計(jì)方案論證：應(yīng)說明設(shè)計(jì)原理并進(jìn)行方案選擇。應(yīng)說明為什么要選擇這個(gè)方案（包括各種方案的分析、比較）；還應(yīng)闡述所采用方案的特點(diǎn)（如采用了何種新技術(shù)、新措施、提高了什么性能等）。（2）設(shè)計(jì)及計(jì)算部分：這是設(shè)計(jì)說明書的重要組成部分，應(yīng)詳細(xì)寫明設(shè)計(jì)結(jié)果及計(jì)算結(jié)果。（3）樣機(jī)或試件的各種實(shí)驗(yàn)及測(cè)試情況：包括實(shí)驗(yàn)方法、線路及數(shù)據(jù)處理等。（4）方案的校驗(yàn)：說明所設(shè)

47、計(jì)的系統(tǒng)是否滿足各項(xiàng)性能指標(biāo)的要求，能否達(dá)到預(yù)期效果。校驗(yàn)的方法可以是理論分析（即反推算），包括系統(tǒng)分析；也可以是實(shí)驗(yàn)測(cè)試及計(jì)算機(jī)的上機(jī)運(yùn)算等。6結(jié)論概括說明本設(shè)計(jì)的情況和價(jià)值 ，分析其優(yōu)點(diǎn)、特色，有何創(chuàng)新，性能達(dá)到何水平，并指出其中存在的問題和今后的改進(jìn)方向。7謝辭簡述自己通過本設(shè)計(jì)的體會(huì)，并對(duì)指導(dǎo)老師和協(xié)助完成設(shè)計(jì)的有關(guān)人員表示謝意。8參考文獻(xiàn)應(yīng)列出主要參考文獻(xiàn)。9附錄將各種篇幅較大的圖紙、數(shù)據(jù)表格、計(jì)算機(jī)程序等作為附錄附于說明書之后。二、畢業(yè)論文撰寫的主要內(nèi)容與基本要求1題目題目應(yīng)該簡短、明確，要有概括性，讓人看后能大致了解文章的確切內(nèi)容、專業(yè)的特點(diǎn)和學(xué)科的范疇。題目的字?jǐn)?shù)要適當(dāng)，一般不

48、宜超過20字。字體為2中外文摘要及關(guān)鍵詞摘要也稱內(nèi)容提要，應(yīng)當(dāng)以濃縮的形式概括研究課題的主要內(nèi)容、方法和觀點(diǎn)，以及取得的主要成果和結(jié)論，應(yīng)反映整個(gè)論文的精華。中文摘要約300字左右為宜，同時(shí)要求寫出250個(gè)實(shí)詞左右的外文摘要。關(guān)鍵詞3-5個(gè)。摘要應(yīng)寫得扼要、準(zhǔn)確，一般在畢業(yè)論文全文完成后再寫摘要。在寫作中要注意以下幾點(diǎn)：（1）用精練、概括的語言表達(dá)，每項(xiàng)內(nèi)容均不宜展開論證。（2）要客觀陳述，不宜加主觀評(píng)價(jià)。（3）成果和結(jié)論性意見是摘要的重點(diǎn)內(nèi)容，在文字上用量較多，以加深讀者的印象。（4）要獨(dú)立成文，選詞用語要避免與全文尤其是前言和結(jié)論雷同。（5）既要寫得簡短扼要，又要行文活潑，在詞語潤色、表達(dá)

49、方法和章法結(jié)構(gòu)上要盡可能寫得有文采，以喚起讀者對(duì)全文的閱讀的興趣。3目錄（必要時(shí)）論文編寫完成后，為了醒目和便于讀者閱讀，可為論文編寫一個(gè)目錄。目錄可分章節(jié)，每一章節(jié)之后應(yīng)編寫頁碼。4前言前言是全篇論文的開場(chǎng)白，它包括：（1）選題的緣由。（2）對(duì)本課題已有研究情況的評(píng)述。（3）說明所要解決的問題和采用的手段、方法。（4）概括成果及意義。作為摘要和前言，雖然所定的內(nèi)容大體相同，但仍有很大的區(qū)別。區(qū)別主要在于：摘要一般要寫得高度概括、簡略，前言則可以稍微具體些；摘要的某些內(nèi)容，如結(jié)論意見，可以作為籠統(tǒng)的表達(dá)，而前言中所有的內(nèi)容則必須明確表達(dá)；摘要不寫選題的緣由，前言則明確反映；在文字量上前言一般多

50、于摘要。5正文正文是作者對(duì)自己研究工作的詳細(xì)表述。它占全文的較多篇幅。主要內(nèi)容包括研究工作的基本前提、假設(shè)和條件；模型的建立，實(shí)驗(yàn)方案的擬定；基本概念和理論基礎(chǔ)；設(shè)計(jì)計(jì)算的主要方法和內(nèi)容；實(shí)驗(yàn)方法、內(nèi)容及其結(jié)果和意義的闡明；理論論證，理論在實(shí)際中的應(yīng)用等等。根據(jù)課題的性質(zhì)，論文正文允許包括上述部分內(nèi)容。正文的寫作要求：（1）理論分析部分應(yīng)寫明所作的假設(shè)及其合理性，所用的分析方法、計(jì)算方法、實(shí)驗(yàn)方法等哪些是別人用過的，哪些是自己改進(jìn)的，哪些是自己創(chuàng)造的，以便指導(dǎo)教師審查和糾正。這部分所占篇幅不宜過多，應(yīng)以簡練、明了的文字概略表達(dá)。（2）課題研究的方法與手段分別用以下幾種方法說明：a用實(shí)驗(yàn)方法研究課題，應(yīng)具體說明實(shí)驗(yàn)用的裝置、儀器、原材料的性能是否標(biāo)準(zhǔn)，并應(yīng)對(duì)所有裝置、儀器、原材料做出檢驗(yàn)和標(biāo)定。對(duì)實(shí)驗(yàn)的過程或操作方法，力求敘述得簡明扼要，對(duì)人所共知的或細(xì)節(jié)性的內(nèi)容不必詳述。b用理論推導(dǎo)的手段和方法達(dá)到研究目的的，這方面內(nèi)容一定要精心組織，做到概念準(zhǔn)確，判斷推理符合客觀事物的發(fā)展規(guī)律，符合人們對(duì)客觀事物的認(rèn)識(shí)習(xí)慣與程序。換言之，要做到言之有序，言之有理，以論點(diǎn)為中樞，組織成完整而嚴(yán)謹(jǐn)?shù)膬?nèi)容整體。c用調(diào)查研究的方法達(dá)到研究目的的，調(diào)查目標(biāo)、對(duì)象、范圍、時(shí)間、地點(diǎn)、調(diào)查的過程和方法等，這些內(nèi)容與研究的