Web应用中的弱点及解决方案.pdfVIP

2011年2月 电 脑 学 习 第1期 Web应用中的弱点及解决方案 孟庆新+ 刘晓慧 摘 要：Web应用日盖增多．萁安全性也越来越受到关注。本文在分析Web应用中典型弱点的善础上提出了针对性的解决方案。 关键词：Web应用：安全性：解决方案 中图分类号：TP309 文献标识码： A The and inWeb Solutions Vulnerability Application Meng LluXiaohui Qing虹n Abstract：Theattentiontothe 0fweb is withtheincreaseofweb solutionis Beeurity apptieaiton gi— increasing application．The inthis Oilthe of yell thesis inweb analysistypicalvulnerabilityapplication． words：Web Key Application；Security；Solution l Web应用及所面对的威胁 端口是一定要开放的，可以顺利通过的这部分通讯可能是 Web应用是由动态脚本、编译过的代码等组合而成，通 善意的也可能是恶意的。这里需要注意的是Web应用是由 软件构成的，那么一定会包含缺陷(Bugs)，这些缺陷就可 常架设在Web服务器上，用户在Web浏览器上发送请求， 以被恶意的用户利用，通过执行各种恶意的操作，偷窃、操 这些请求使用HTlP协议，经过因特网和企业的web应用 交互，由Web应用与企业后台数据库及其它动态内容通 控、破坏Web应用中的重要信息。只要访问可以顺利通过 信。尽管不同企业会有不同的Web环境搭建方式，但一个 企业的防火墙，Web应用就毫无保留地呈现在用户面前，只 典型的Web应用通常是标准的三层架构模型，其中客户端 有加强Web应用自身的安全才是真正的Web应用安全解 是第一层，使用动态Web内容的部分属于中间层，数据库 决之道。 是第三层。用户通过web浏览器发送请求给中间层，由中 2典型的Web应用安全弱点 间层将用户请求转换为对后台数据的查询或更新，并将最 (1)已知弱点和错误配置。已知弱点包括Web应用使 终结果在浏览器上展示给用户． 用的操作系统和第三方应用程序中的程序错误或者可以被 在企业Web应用的各个层面，都会使用不同技术来确 利用的漏洞。 保安全性。为保护客户端的安全，用户会安装防病毒软件； (2)隐藏字段。在很多应用中，隐藏的HTML格式字段 为保证用户数据传输到企业Web服务器的传输安全，通信 被用来保存系统口令或商品价格，尽管其名称如此，但这些 层通常会使用SSL(安全套接层)技术加密数据；企业会使字段并不是很隐蔽，任何在网页上执行“查看源代码”的人 用防火墙、入侵诊断系统IDS和入侵防御系统IPS来保证都能看见。很多Web应用允许恶意的用户修改HTML源文 仅允许特定的访问，不必要暴露的端口和非法的访问在这 件中的这些字段，为其提供了以极小本钱或无需本钱购买 里都会被阻止；即使有防火墙，企业依然会使用身份认证机