数字校园web应用安全问题研究.pdfVIP

VoL48

第48卷增刊中山大学学报(自然科学版)Sup．

SUNYATSENIM趴2009

2009年3月AC’rASCIENTIARUMNATURAUUMUNIVERSnA11S

数字校园web应用安全问题研究+

吴海燕，高国柱，苗春雨

(清华大学计算机与信息管理中心，北京100084)

摘要：B／S技术已经成为数字校园的主流技术，同时web应用也给数字校园的信息安全带来了新的挑战。文

章分析了web应用常见的安全威胁，提出了数字校园web应用安全防护模型，最后对两种目前比较成熟的web

应用安全评测技术进行了介绍。

关键词：web应用安全；数字校园；web应用安全漏洞扫描

文献标识码：A文章编号：0529-6579(2009)$1-0358-04

中图分类号：TP393

tion

随着网络的普及，目前几乎所有的数字校园应Security

用都是基于网络的，软件技术主要包括C／S、B／S不安全的Web应用软件的非营利组织，在Web应

两类。近年来随着服务器硬件技术、网络技术的发用安全方面做了很多工作。随着存在安全隐患的

展。B／S应用以其开放性、通用性、灵活性的优Web应用程序数量的增长，OWASP也总结出了

点，逐步占据了数字校园应用开发技术的主流地web应用程序的十大安全漏洞”J。

位。以清华大学数字校园建设为例，目前90％以在这个10大安全漏洞中，不但包括了Web应

上的应用基于B／S技术。用程序的脆弱性介绍，还包括了OWASP的建议内

同样，在整个互联网上，Web应用也已经成为容，帮助程序开发人员和企业尽量避免这些脆弱点

绝对的第一大应用，根据CNCERT／CC网络安全监

给企业系统带来的风险。下面列举了2006年版的

测系统对流量数据进行的抽样统计显示【lJ，Web

OWASP十大安全漏洞，也是数字校园web应用常

应用流量占整个TCP流量的67．7％，高居首位。见的安全威胁。

但是，不容乐观的是，据统计目前超过90％

(1)非法输入(UnvalidatedInput)。web应用

的Web应用存在某种类型的安全漏洞，有超过

需要处理各种各样的来自不可信任源的输入，处理

75％的攻击∽1是通过HTIP／S协议进行的。而且实

不当可能引发很多恶果。比如，通过http请求从浏

际发生的Web攻击数量有明显的上升趋势，“CSI／

览器向web应用发送参数，攻击者可以任意修改请

FBI

2005计算机犯罪和安全调查”L31最惊人的发现

求，从而造成破坏。通过规范化参数输入，能够检

是网页窜改事件的数量呈指数性增长：2004年只

查、拒绝不符合规范的输入。

有5％的被调查者的网页被黑客窜改，2005年这一

AccessCon—

(2)失效的访问控制(Broken

数值增加到了