数字校园web应用安全问题研究.pdfVIP

中国高等教育学会教育信息化分会第九次学术年会论文集 · ·480· 数字校园web应用安全问题研究 吴海燕，高国柱，苗春雨 (清华大学计算机与信息管理中心。100084) 摘要：B／S技术已经成为数字校园的主流技术，同时web应用也给数字校园的信息安全带来了新的挑战。本文分析了 web应用常见的安全威胁，提出+J，数字校网web应用安全防护模型，最后对两种目前比较成熟的web应用安全评测技 术进行_，介绍。 关键词：web应用安全；web应用安全评测 1引言 随着网络的普及，目前几乎所有的数字校园应用都是基于网络的，软件技术主要包括C／S、B／S 两类。近年来随着服务器硬件技术、网络技术的发展，B／S应用以其开放性、通用性、灵活性的优点， 逐步占据了数字校园应用开发技术的主流地位。以清华大学数字校园建设为例，目前90％以上的应 用基于B／S技术。 同样，在整个互联网上， 测系统对流量数据进行的抽样统计显示…，Web应用流量占整个TCP流量的67．7％，高居首位。 但是，不容乐观的是，据统计目前超过90％的Web应用存在某种类型的安全漏洞，有超过75％ 2005 的攻击心1是通过HTTP／S协议进行的。而且实际发生的Web攻击数量有明显的上升趋势，“CSI／FBI 计算机犯罪和安全调查”¨1最惊人的发现是网页窜改事件的数量呈指数性增长：2004年只有5％的被 调查者的网页被黑客窜改，2005年这一数值增加到了95％。 在此背景下，数字校园所面临的安全威胁也从网络和系统层面的攻击上移到应用层面。2007年 底清华大学计算中心对校园数据中心进行了安全大检查，也验证了信息安全的重点上移的趋势。网络 或者系统层面的安全问题通常可以通过打补丁或者使用成熟的安全设备(如防火墙)来解决，与之相 比，应用安全问题更难以处理，而且往往要花费昂贵的代价。 2Web应用常见的安全威胁 Web 开源Web应用安全计划(OpenApplicationSecurity 不安全的Web应用软件的非营利组织，在Web应用安全方面做了很多工作。随着存在安全隐患的Web 应用程序数量的增长，OWASP也总结出了Web应用程序的十大安全漏洞[4]。 在这个10大安全漏洞中，不但包括了Web应用程序的脆弱性介绍，还包括了OWASP的建议内容， 帮助程序开发人员和企业尽量避免这些脆弱点给企业系统带来的风险。下面列举了2006年版的OWASP 十大安全漏洞，也是数字校园web应用常见的安全威胁。 (1)非法输入(UnvalidatedInput)。web应用需要处理各种各样的来自不可信任源的输入，处 理不当可能引发很多恶果。比如，通过http请求从浏览器向web应用发送参数，攻击者可以任意修 改请求，从而造成破坏。通过规范化参数输入，能够检查、拒绝不符合规范的输入。 Contr01)。很多站点的访问控制策略过于复杂或者实现不当。 (2)失效的访问控制(BrokenAccess 攻击者可以看到自己本不应当看到的内容，并且提高自己的权限。通过正确的实现访问控制，确保用 户只能看到自己有权限看到的东西。 and AuthenticationSession (3)失效的账户和session管理(Broken 如密码、钥匙和会话cookies需要得到保护，否则认证机制形同虚设。 Site (4)跨站点脚本攻击(Cross flash等。攻击者将可执行的恶意代码脚本作为输入的一部分传给Web应用，这些脚本然后在其他用 户的浏览器中运行，从而对使用它的其他J钉户造J戊损害。造成的结果是盗取会话令牌，攻击机器或者 中国t苛等教育学会教育信息化分会第九次学术年会论文集 ·481· 哄骗用户。 围检查，输入在缓冲区溢