基于JbossSeam的Web应用程序的安全性探讨①.PDF

2013 年 第 22 卷 第 10 期 计 算 机 系 统 应 用 基于Jboss Seam 的Web 应用程序的安全性探讨① 周安辉 ( 内江职业技术学院 电子信息工程系, 内江 641000) 摘 要: 预防攻击者利用 Web 应用程序安全漏洞入侵, 开发人员采用的一些传统做法已经不适合基于 Java 的新 一代快速开发平台. 通过了解新概念和新技术, 结合 OWASP 对常规风险的建议, 本文探讨了开发人员使用 Jboss Seam 构建 Web 应用程序时应该遵守的一些通用安全规则. 关键词: 安全漏洞; 认证和授权; 敏感数据; Bean 验证 Research of Web Application Security Based on Jboss Seam ZHOU An-Hui (Electronic Information Engineering, Neijiang Vocational and Technical College, Neijiang 641000, China) Abstract: Preventing an attacker to take advantage of Web application security vulnerabilities, some traditional practices have been used by Web developers is not suitable for the new generation of Java-based development platform quickly. By understanding the new concepts and technology, and combined with OWASP recommendations for conventional risk, this paper explore some common practices which should be followed by Web developers, when using Jboss Seam to build Web applications. Key words: security vulnerabilities; authentication and authorization; sensitive data; bean validation 在过去的五年中, 互联网应用快速发展, 使 Web 排名[1]: ①注入; ②破坏认证和会话管理; ③跨站点脚 应用程序成为攻击的主要目标. 尽管Java 和J2EE 包含 本(XSS); ④不安全的直接对象引用; ⑤安全配置错误; 了许多安全技术, 但要开发没有安全漏洞的 Web 应用 ⑥敏感数据暴露; ⑦缺少功能级访问控制; ⑧跨站点 程序并不容易, 因为大多数能够应用到其他环境的 请求假冒(CSRF); ⑨使用已知易受攻击的组件; ⑩未 Web 应用程序安全漏洞还是能够用于 Java 开发的Web 经验证的重定向和转发. 应用程序. 然而, 作为下一代企业 Java 开发工具 Jboss 利用一个自动扫描工具能够发现已知漏洞的大多 Seam 框架, 为 Java 开发人员高效地构建安全的 Web 数, 但是潜在的漏洞却无能为力, 并且要发现逻辑漏 应用程序提供了强大的支持, 弥补了J2EE 在Web 应用 洞需要手工分析Web 应用程序源码和安全测试. 所以, 程序安全方面的不足. 要降低 Web 应用程序面临的风险, 还是在于开发健 壮的 Web 应用程序. 1 Web应用程序存在的主要风险 攻击通常是利用在一个Web 应用程序的语法和语 2 Jboss Seam简介 义中的漏洞, 进行故障注入.