WEB应用安全研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
{服 务 器 端 的攻 击 层 出不 穷 , 网 页 的信 息 容 行。这样的功能性小程序 的集合形成常用 的工 改 。
到篡改并植入有害代码 ,个人信 息大 量泄 具包进行单独管理就构成 了中间件服务器 ,它
HTTP协议最初的 目的是为 了在 浏览器和
JJ用 浏 览 器 的 漏 洞 的挂 马 网站 大 量 泛 滥 ,据 实 际 上 是 W EB服 务 器 处理 能 力 的扩 展 。
i息安全 ● I nformation Secu rity
WEB应用安全研 究
文 /黄 定 华 徐 志伟 。
随 着 Inetcrnct技 术 的 不 断 发展 和延伸 ,WEB服务成 为互联 网 上 的使 用 最普 遍 的应 用服 务 ,本 文从 WEB服 务架 构 的发 展具 体 分 析 了可 能带 来安 全威胁 的各 个层 面的 原 因,并对 于这 些威胁 提 出
目录 下 , 比 如 .html文 件 和 .xml文 件 ,用 户 通 户 ,Session具有 唯一 的标示 ,可 以通 过数据 库,
过点击 网页上 的 “超链接 ” (URL)来 获取相 内存或 者文件进 行存 储。而 Cookie则是客户
关 内容 ,内容通过 TCP/IP链 接传输 并经过 客 端 为 了方 便 用 户 或 进 行 Session跟 踪 把 一 些 用
了相 关 的安全 体 制构 建机 制和 构 想 。
中 WEB服务指 的是 这种超文本 的资源集合通 现给用户 。
过浏览器 /服务器架构和 Htcp协议呈现给客户
除 了应 用数据 的变 化,用 户 的一些 状态
的服务。随着用户更加注重交互和 内容 的分享 , 信 息,属性信 息也 需要针对 性记录 。而 WEB
在早期 ,客户使 用 WEB浏 览器通 过 http 化信息 的记忆和存储 ,使得呈现给用户 的访 问
协议通过 互联网访 问 WEB服 务器,一般使用 界面更加友好和人性化 。由于 HTTP协议 是无
键词 】WEB安全 WEB防火墙 HTTPS
的是 html静 态页 面。静态 页面 是指 用户通常 状态 的协议 ,所 以服务端 需要记录 用户的状态 访 问的页面都存储 在 WEB服 务器 的某个 固定 时,就需要 用 Session的机 制来标 识具体 的用
频 ,播放歌 曲,进行娱乐互动 ,也可 以通 编辑 ,信息提交等。这些小程序既可 以嵌入在 操作 系统漏洞和服 务器 WEB服 务漏洞 :比如
页浏览的方式享受社交 网络 ,电子 邮件 以 html页面 中,也可 以以文件 的形式单独存储在 IIS或者 Tomcat的系统性漏洞 ;黑客通 过这种
基 于 网页浏 览 的应 用随着 互联 网技 术发 使得 WEB服务具备强 大的双 向交流模 式:可 道主要 有服务器 系统漏 洞和 WE B服务应 用漏
断推进,人们不仅可 以通过 网页浏览来欣 以像传 统 软件 一样进 行 各种 计算 处理 ,文件 洞这两类 ,其 中服务器系统漏洞又 分为服 务器
目络购 物等服务。随着应用和服务 的兴盛 , 服 务 器 的 目录 中 , 比如 .php、.class、.jsp文 件 , 类别 的漏洞入侵可 以获得服务器 的高级权 限,
{浏览的安全 问题也 日益 凸显 ,各种针对于 既 可 以 由浏 览 器 解 释 执 行 ,也 可 以 由服 务 器 运 从而 实现对服务 器的 wEB服 务的任意控 制修
www 是 由许 多互相连接的超文本组成的 客户 浏览器的插件技术来解释和运行这些小程 客 户浏 览器 ,以及 中 间基 于 http协 议 的传输
, 通 过互联网进行访 问, 在这个系统 中每 序从 而实现和用户灵活的交互。这些小程序用 过程 ,WEB服务应用攻击 四个 部分。WEB服
}物 都称之为一个 “资源 ”,并且有一个全 法 灵 活 而且 可 以根 据 用 户 的 角 度 进 行 定 制 化 处 务 器 是 W EB服 务 的 必 经 之 路 , 也 是 黑 客 和 攻
Leabharlann Baidu
q URL (统 一 资源 标 识 符 ) 表 示 。
理 ,使得 网页设计 的交互性得到极大的提高, 击 者 的 首 选 目标 ,对 于 W EB服 务 器 , 入 侵 渠
i维 网)的兴盛和 发展。据美国互联网研究 当用户需要一些互动甚至是 内容 的创作者 的时 和 Cookie会 结合起来使用 。
自Netcratt统 计 , 截 止 到 2016年 6月 全 球 候 ,静态 页面 就无 法满 足这 种频 繁 的互动 需 3 WEB安全和威胁
数 量 已 经 突 破 了 1O亿 大 关 。 随 着 网 络 信 求 ,在 这 个 背 景 下 动 态 网 页 的概 念 就应 运 而 生
自从互 联 网时代 开 启 以来 ,网 页浏 览成 户 端浏 览器 解释 呈现 给用 户。静 态 页面往 往 户信 息包括 用户名和 口令 等存储 在客户端的硬
:网 最 普 遍 的行 为 。这 种 行 为 导 致 了 w ww 只能 完 成 信 息 的发 布 和 展 示 这 些 简 单 的 功 能 , 盘临时 文件 中的一 种机 制。一般 来说 Session
和移动互联 网的进一步发展,网页的浏览 了:通过在在 网页 中嵌入一些可 以运行 的小程
在上一节描述 的 wEB架构 中,我们不难
用 已经 成为 日常 生活 中不 可或 缺 的一部 序 (比如 Java,PHP,ASP,FLASH等 ),通 过 看 出 WEB的威胁主 要来 自于对 于服务器端 ,
W EB2.0引 入 了 由用 户 主 导 而 生 成 内 容 的 互 联 服务器 是不对这些信 息进行记录和存储 的,为
网模式 ,出现 了数据与服务 的分离 ,分布式数 了这种定制化访 问的需要 ,往往在客户端通过
据和服务等变化,大大增强 了交互性。
Cookie和服 务器端 的 Session的机制 进行定制