Web应用其安全威胁与防护技术探讨.docVIP

Web应用其安全威胁与防护技术探讨 摘 要：互联网技术的发展，使得Web技术得到了日益广泛的应用，越来越多基于Web应用的系统被部署在互联网上以提供各式各样的服务，由于互联网本身的开放性使其时刻面临着潜在恶意攻击，其安全性问题日益突出。在这样的背景下，进行Web应用安全现状与防护技术的研究具有很强的现实意义。本文从目前Web存在的问题及Web应用面临的安全威胁，并从服务器端和客户端二方面对当今Web应用所面临的安全威胁进行了系统地分析，并针对各自面临的常见安全威胁提出了相应的安全防护方案和防护建议。 关键词：Web应用 网络安全 安全威胁 安全防护 0.引言 随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。越来越多的政府机关、银行、企事业等单位为了适应社会的发展，树立自身良好的形象，扩大社会影响，提升工作效率，均建立起自己的门户网站。然而，由于网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生，甚至有的篡改网站的事件直接升级成政治事件，严重危及国家安全和人民利益。所以Web安全威胁形势日益严峻，Web安全防护该何去何从？如何保证Web应用程序自身的安全性，更好的为用户提供快捷稳定的服务，是我们必须应对的挑战。 传统的网络安全防护体系已无法招架如今的黑客们了。今天，网络罪犯已不仅仅把目光锁定在知名大公司上，每一个存在漏洞的网站都可能成为被攻击的目标。 因此，保障Web应用安全已经成为一个重要的研究课题。 1.目前Web存在的问题 1.1用户对Web技术的不了解 也许浏览器里最突出的一个特点就是大多数使用者完全不懂技术。但自从Web日渐深入人们的生活后，由于门槛极低，所以我们碰到了一个新情况：大多数用户对如何安全上网完全没概念。 很长一段时间以来，工程师们在开发普通的软件时，一般来说是完全不会考虑到使用者的计算机水平的。大多数情况下这样做确实没什么大问题。但这套规律在Web浏览器上却行不通。和其他复杂的软件不同，哪怕使用者连文本编辑器都用不来，但使用浏览器却完全没问题。不用说，在时下林林总总热门Web应用的目标人群中，绝大部分对Web技术是不了解的。 1.2 Web运行环境隔离困难 以往个人电脑时代的传统模式里不太可能发生文本文件窃取电子邮件这种事情，但在Web上却屡见不鲜。因为在浏览器的世界里，文档和代码交织在同一个HTML文件里，完全无关的应用之间最多只能算部分隔离，除了要遵守寥寥几个灵活的浏览器级别的安全控制框架，不同网站之间各种交互都是隐式默许的。 所以实际上，所有的Web应用都曾为不请自来的恶意跨域访问，付出过沉重的代价，最后只能用一些笨拙的方法勉强分离代码和要显示的数据。所有的Web应用都在这个事情上败下阵来，只是时间早晚而已。许多内容相关的安全问题，如跨站脚本或跨域请求伪造在Web领域都很常见，但在专用客户端的架构里，却极少碰到类似的情况。 1.3浏览器中缺乏统一的安全机制 Web完全没有一个通用的整体性安全模型。在浏览器领域里，“同源策略”机制就可算是这类的核心安全范式了，但实际上这套本身就问题多多的机制也仅是跨域交互里一个小的子集而已。 所以结果就是，有诸多这类零零碎碎耍小聪明的调整，但谁都无法担起浏览器的安全大任。由于缺乏正确性，也无从判断单个应用在什么时候结束，新的应用在什么时候开始。在这样的困境之下，到底怎样才算是出现攻击了呢？究竟是需要加载或取消权限许可，还是需要完成某项安全相关的任务呢？我们就很难掌控了。 1.4跨浏览器交互的协同存在问题 当多种浏览器企图彼此交互时，有一系列难以归咎到哪段具体代码上但又非常严重的漏洞。你没法揪出哪个特定产品就是罪魁祸首：它们都不过是在尽责地完成任务而已，唯一问题是，没有为它们定义一个全体浏览器都理应遵守的公共规范。 另一个紧密相关的问题就是，即使浏览器的安全机制表面上看来很相似，实际上却并不兼容，这种情况在Web出现之前很少发生。如果各家浏览器安全模型是不同的，那么某条Web应用开发规范对其中一种浏览器可能是合理的，但对另一种却可能完全不适用且会产生误导。而这些问题程序开发人员往往意识不到，除非他们正好使用了这种受影响的浏览器―即使这样，也往往需要等他们踩上地雷才会意识得到。 1.5 客户端和服务器端界限模糊 Web的起源完全符合常规的“客户端?C服务器端”架构，但客户端和服务器端响应的功能边界被迅速模糊了。罪魁就是JavaScript技术，它在浏览器里（也就是“客户端”）代理了HTTP服务器的应用逻辑的执行。但安全问题需要客户端来负责，这显然是不现实的。 在传统的“客户端?C服务器”模型里都有用途清晰具体的API，无需考