随着Web2.0的快速发展,各种基于Web的应用也随之大量涌现出来,这些应用和服务已经深入到人们生活的各个方面,给我们带来方便快捷的同时也极大地推动了社会的快速发展,但是暗藏在背后的安全问题也逐渐暴露出来。近些年,众多网络安全事件不断被媒体披露出来,大量的Web应用被黑客攻击后导致数据泄露以及网络安全上升到了国家战略的地位,因此人们逐渐意识到网络安全的重要性。本文对Web服务器端和客户端常见漏洞的形成及其利用场景分别进行了详细的分析和阐释,并提出了相应的攻击模型,最后针对这些漏洞提出一个合理的安全防御方案。本文主要进行以下几个方面的工作:1)Web服务器端安全。首先对原有的攻击方法进行改进,形成变异攻击,从而可以绕过WAF,然后构建Web服务器端攻击模型,此攻击模型中的各个模块都是相互关联的,可以让攻击流程化,最后提供实例进行测试和验证。2)Web客户端安全。Web客户端危害比较大的漏洞有XSS跨站脚本攻击、CSRF漏洞、点击劫持等,通过对这些攻击技术的深入研究,构建Web客户端攻击模型,并提供实例进行测试和验证。3)安全防御方案。本文提出了一个比较全面的安全防御解决方案,能够对传统攻击和可以绕过WAF的变异攻击进行有效的防御,有效地避免了 Web安全攻击事件的发生。