返回
浅谈web应用安全问题及防范

浅谈web应用安全问题及防范

ID:20573450

大小:56.50 KB

页数:7页

时间:2018-10-13

浅谈web应用安全问题及防范_第1页
浅谈web应用安全问题及防范_第2页
浅谈web应用安全问题及防范_第3页
浅谈web应用安全问题及防范_第4页
浅谈web应用安全问题及防范_第5页
资源描述:

《浅谈web应用安全问题及防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈WEB应用安全问题及防范:随着WEB应用技术的发展,越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理,使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点,传统防火墙对于其存在的安全问题缺少针对性和有效性,新的防护工具——Web应用防火墙应运而生。  关键词:web应用开放性安全问题Web防火墙  随着信息资源逐渐向数据高度集中的模式,Web成为一种普适平台,Web应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式,但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出,已成为了X络

2、安全核心问题之一。  1Web应用的工作原理和特点  Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。  目前广泛使用的Web应用程序一般是B/S模式,使用标准的三层架构模型:第一层是客户端;使用动态Web内容技术的部分属于中间层;数据库是第三层。在B/S模式中,客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求,Web服务器接受客户端请求后,将这个请求转化为SQL语法,并交给数据库服务器,数据库服务器得到请求后,验证其合法性,并进行

3、数据处理,然后将处理后的结果返回给Web服务器,Web服务器再一次将得到的所有结果进行转化,变成文档形式,转发给客户端浏览器以友好的Web页面形式显示出来。  因此,Web应用具有以下特点:  1.1易用性  Web应用所基于的Web浏览器的界面都很相似,对于无用户交互功能的页面,用户接触的界面都是一致的,因此Web应用的操作简单易上手。  1.2开放性  在Web应用的B/S模式下,除了内部人员可以访问,外部的用户亦可通过通用的浏览器进行访问,并且不受浏览器的限制。  1.3易扩展性  由于Web的平台无关性,B/S模式结构可以任意扩展,可以从一台服务器、几个用户的工作组级扩展成为拥有成千上

4、万用户的大型系统。  2WEB应用主要安全问题  由于Web应用的特点,其受到的X络安全问题也与日俱增,根据统计,主要的安全问题有以下几种:  2.1Web平台软件的不安全性  Web平台软件包括Web应用使用的操作系统、HTTP底层服务器软件和第三方应用程序等,这些软件配置中往往存在很多安全问题,攻击者使用扫描工具检测到漏洞并加以利用,导致后端系统的攻陷,包括数据库和企业内部X络。  2.2拒绝服务攻击  因为IP地址不能作为请求的判断依据,没有可靠的办法判断出一个HTTP请求从哪里来,难以过滤恶意的访问,所以很容易受到拒绝服务攻击,攻击者发送多个类似请求,使数据库链接池消耗,导致合法用户不

5、能使用服务,也就是拒绝服务攻击。  2.3SQL注入  SQL注入,是指通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。主要是针对Web应用在数据被输入程序前忽略对数据合法性的检验这样一个常见的编程漏洞,以此操纵SQL代码来套取用户的用户名、密码等信息,或对后台数据进行窃取和破坏。  2.4跨站脚本攻击  跨站脚本,是指一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供,最终为用户浏览器加载。不同于大多数攻击(一般攻击只设计攻击者和受害者),跨站脚本设计到三方,即攻击者、客户端与X站。主要是针对Web应用服务器

6、端的通用X关接口(CGI)程序没有对用户提交的变量中的代码进行有效的过滤或转换并允许往Web页面插入代码这样一个漏洞,从而盗取客户端的cookie或者其他X站用于识别客户端身份的敏感信息。  3web应用的防范  对于Web应用常见的安全问题,一般的防范方法主要是通过Web应用的X站管理人员进行设置。例如,设置对用户输入数据的合法性进行检验,通过正则表达式,限制数据提交长度;或是对数据库连接进行权限分类设置,为每个应用使用单独的有限数据库连接。  作为常用的X络安全防护工具,传统防火墙在Web应用安全问题中无法起到有效作用。因为传统防火墙的工作原理是,对于Web服务器对外部X络开放的HTTP应

7、用端口方式防护效果甚微。  同时,随着对Web应用安全的日益关注,越来越多的厂商在进行针对Web应用安全问题的专用防火墙——Web应用防火墙(WAF)的研发,市面上也已出现多种Web应用防火墙产品,并投入使用检验效果。  不同于传统防火墙在X络层通过地址转换、访问控制以及状态检测等功能进行防护的工作原理,WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好的安全策

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。