Java Web应用程序安全技术研究.pdfVIP

COMPUTINGSECURITYTECHNIQUES 计算机安全技术 JavaWeb应用程序安全技术研究 陈华 (福建交通职业技术学院，福州 350007) 摘 要：JavaWeb技术 自诞生到现在越来越广泛，已经成为流行技术中的一种。对 JavaWeb应用程序面临的威胁 做了比较详细的技术分析与探讨，指出了相关Web技术存在的漏洞，分析并提出了安全解决方案，为开发安全的 JavaWeb应用程序提供技术支持。 关键词：Web；漏洞 ；Java安全 ResearchOnSecurityTechnologyofJavaWebApplication CIⅡN Hua (FujianCommunicationsTechnologyCollege，Fuzhou 350007) Abstract：TheJavawebtechnologyisused moreandmorewidelyandbecomesoneofthemostpopulartechnoloyg．The threatsofJavaWebapplicationaredetailedinthearticle．Itpointsoutthatseveralrelationaltechnoloyg hasleak，together withitssolution．ThearticleprovidestechnologyforthedevelopmentofJavaWebapplication． Keywords：Web；leak；Javasecurity 1 引言 客户端的安全威胁主要来 自两个方面：一个是客户端开 随着互联网的快速发展 ，Web应用正迅速崛起并得到普 发技术安全漏洞；另一个是客户端浏览器的BUG。 及，冲击着桌面应用程序，该新型的计算机软件在 目前计算 服务器端的安全威胁也来 自两个方面：一个是服务器端 机软件 占着主要地位。Web应用通过 Web技术实现网络资源 代码隐藏的缺陷，例如 SQL注入漏洞、URL强制访 问漏洞等； 的共享 ，用户可以通过浏览器去访 问相关信息或者数据。 另一个是服务器端代码的运行支撑环境存在缺陷，例如操作 越来越多的Web开发环境支持 MVC (Model—View—Con— 系统漏洞、Web服务器漏洞和数据库漏洞等。 tro1)设计模型 ，该模型为开发者提供了全套的开发框架。 通信过程的安全威胁主要有信息窃取和信息篡改，其主 JavaWeb技术 自诞生到现在越来越广泛，已经成为流行技术 要会影响Web应用程序的通信数据的机密性和完整性。 中的一种，尤其在电子商务网站方面。因此，Web应用程序 3 Web技术及其安全 的安全是越来越受到关注。 3．1JavaScript 2 面临威胁 JavaScfipt是 由Netscape公司开发的一种脚本语言，应用 Web应用程序是指基于Web开发的应用程序，由服务器端 了基于对象和事件驱动技术 ，具有安全性能。JavaScript的出 和客户端两个基本的组件组成。H1TrP是无国界的，Web应用程 现使网页包含更多活跃的元素和更加精彩的内容 ，实现实时 序安全将成为设计人员和开发人员必须面对的问题。图 1展示 的、动态 的、交互性的网页设计 。 了一个Web应用程序安全威胁模型，从图1中可以看到，Web JavaScript语言现在被绝大多数浏览器支持 ，而 VBSeript 应