WEB服务安全是信息安全研究领域的重点之一。在近几年的信息安全领域中,WEB服务攻击的次数或流量几乎成几何倍增长。而且攻击WEB服务的范围也越来越大,从最开始的一般的门户网站到后来的金融服务或大型的电子商务平台等都遭受了不同程度的攻击。为应对这种WEB服务攻击,企业或公司被迫采购相关的防火墙或者安全产品设备,但由于安防软件或设备价格高昂,对有安全需求的公司或企业来说是他们无力承担的,而且这种安全防护软件或设备一般情况下需要厂商维护升级,而客户所拥有的权限有限,不能够直接进行维护,通常情况下是在出现问题后才会有人处理。基于上述问题,该课题研究常见的WEB服务攻击,并提供一些基本的集成解决方案。主要完成的工作有以下几点:首先,设计实验环境。由于WEB服务攻击的多样性,而且每种攻击的特性也各不相同,所需的研究或实验环境也不同,因此,在课题的研究过程中,针对不同的WEB服务攻击搭建不同的模拟实验环境,供测试实验。实验的主要研究对象为XSS攻击防护、Connection Flood攻击防护及SQL注入攻击防护。其次,根据不同的攻击方式设计不同的防范策略。1、提出新的解决方案应对XSS攻击,主要针对原有或厂商提供的解决方案的缺陷进行完善,提高防护系统的可维护性,使得管理员能够自己进行维护升级本地的敏感字符库;设计中断机制,先响应服务,再处理危险字符,并设计页面标签,防止字符回显带来的扩展攻击。2、针对Connection Flood攻击提供一些轻型的解决方案,可供WEB开发人员或者系统维护人员便捷的集成到系统当中,应对一般的DDOS攻击。根据Connection Flood的攻击特性,设计具有针对性的防护方案,并实现主要的防护功能。3、SQL注入攻击在近些年中,对WEB服务的威胁尤为严重,在课题的研究中,设计SQL专用过滤字符功能函数,并给出具体的应用实例,研究中所涉及的主要内容是完善SQL在执行前的一些必要防护操作。最后,实验验证策略的有效性。搭建模拟的WEB服务,将具体的研究对象分别集成到WEB服务中,并将WEB服务部署到相关的服务器上。模拟攻击实验时对其进行相关的模拟攻击,记录不同阶段的实验数据,方便后期的实验数据分析,以此为依据分析防护系统的可靠性或稳定性。