随着互联网的广泛普及,Web应用平台已经逐渐成为互联网信息交互的中心,随之而来的是Web应用面临的越来越严重的安全威胁,如何保障Web应用安全已经成为一个重要的研究课题。针对Web应用的攻击与传统网络攻击相比具有许多新特征,如采用正常的HTTP协议携带恶意数据,使得传统的网络层防火墙和入侵检测系统无法识别,必须从应用层的角度出发进行安全防护。本文首先研究了Web应用安全产生的根源以及其面临的重要安全威胁,并针对Web应用平台提出了一个安全解决方案。之后深入研究了SQL注入攻击和网页篡改攻击这两种影响最为严重的Web应用攻击及其防护技术,并在理论研究的基础上对相应的安全防护机制进行了设计与实现。针对SQL注入攻击,本文深入研究了其攻击行为及语法特征,采用正则表达式对攻击特征进行了完备描述；在研究SQL注入防护技术的基础上,本文基于服务端过滤技术设计实现了一个Web服务端SQL注入攻击过滤器。该过滤器在HTTP请求未提交Web服务器系统模块处理前分析请求数据,实时拦截攻击行为并告警；通过采用基于攻击特征的正则表达式描述过滤规则,降低了过滤机制的误报率和漏报率；同时结合了IP访问限制功能,可以预防攻击者发起穷举式SQL注入攻击。针对网页篡改攻击,本文深入研究了各种防御技术,分析比较了各种技术的优缺点,最后结合Linux文件操作系统和可加载内核模块开发技术,设计实现了一个基于事件触发技术的网页防篡改内核模块,在网页文件被修改时对修改文件的进程和用户进行权限核查,从而实时阻断恶意修改行为。测试结果表明,本文设计实现的攻击防御机制可以有效防御SQL注入和网页篡改攻击,同时对服务器响应延迟和负载影响较小。