浅谈Web20时代的应用安全.pdfVIP

1009-0940(2012)一04一∞33—03 浅谈Web2·0时代的应用安全 潘敏周晓 江西省工业和信息产品监督检验院 南昌 330019 摘要：随着互联网技术的应用普及，基于B／S架构的Web应用系统以其易用性 在各行各业得到了广泛应用。本文主要介绍Web应用安全技术及防范措施，希望能对 我省Web应用系统安全加固起到一定的借鉴意义。 关键词：Web应用安全漏洞风险评估 0、引言 1、Web应用安全概述 1．1 互联网技术飞速发展。从早期的Webl．0、HTML4Web￡JE务体系结构 到现在的Web2．0、HTML5、无线互联网和云服务，基 于脚本语言、中间件和数据库架构的应用系统已经逐 Web在运行上要采用客户／服务器的体系结构。这种B／S 步成为主流，广泛应用于政府、企事业单位。但同时 模式是通过HTTP或H1HrPS协议进行通信的，其运行模 这些新的应用也给互联网带来新的安全问题，随着应 式可以描述为：请求_+处理一应答。可用一张示意图 用程序和数据库漏洞的增加，承载在这些应用上的攻 来更加直观地展示WebfJE务体系结构，如图1所示。 击也不断出现，网站后门及挂马、SQL注入、跨站脚本 攻击、网页篡改、敏感信息泄漏、拒绝服务攻击、蠕 瓣 虫、暗链等等，都是频繁发生的实例。 171”。一 1I丌P请 舭1方 目前网络中常见的攻击已经由传统的系统漏洞攻 求 终清 受求 Brll*sPr 击逐步演变为对应用自身弱点的攻击，其中最常见的 *r Ⅳ 币 氍 } Br¨*sor 攻击技术就是针对Web应用的SQL注入和跨站脚本攻 II丌P荦 熊瓣一一 Bruw^。l 一国一囡懒1对 击。据美国权威Web安全非赢利组织OWASP(Open 鬈 Web 0大Web应 Project)发布的1 ApplicationSecurity 用脆弱性排名显示， “注入式攻击、跨站脚本攻击” 已经成为影n向Web应用安全的首要问题。 图1 WebfJE务体系结构示意图 如何保证Web应用的安全。已经成为制约Web应 用进一步发展的关键问题。本文从Web应用的安全问 来自用户浏览器提交的请求通过Web￡JE务器传递 题着手。指出了WeblJE务体系结构、Web应用中存在给Web应用程序，由它进行相应处理，处理结果以网 的各种安全漏洞、Web应用安全的保护措施、Web应页形式返回WebfJE务器，Web月E务器将这个网页作为 用安全的评估方法，从而达至lJWeb应用安全的保护。 请求的应答发送给浏览器。 2-11—02 收稿日期：201 1．2Web应用安全的定义 报多鹰J1j程序庄用户访闷受徉扩的链接和按钮之前避抒uRL访纠权鞋{盘渊．o|是 uRL访棚控制缺 由于组成Web应用软件系统的复杂性。目前国内 8