返回
web应用程序的安全问题及对策

web应用程序的安全问题及对策

ID:44416952

大小:59.00 KB

页数:10页

时间:2019-10-21

web应用程序的安全问题及对策_第1页
web应用程序的安全问题及对策_第2页
web应用程序的安全问题及对策_第3页
web应用程序的安全问题及对策_第4页
web应用程序的安全问题及对策_第5页
资源描述:

《web应用程序的安全问题及对策》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Web应用程序的安全问题及对策摘要:Web页面是所有互联网应用的主要界面和入口,各行业信息化过程中的应用儿乎都架设在Web平台上,关键业务也通过Web应用程序来实现,Web应用程序的安全性变得越来越重要。Web应用本身具有一些的安全弱点,其安全漏洞常被利用來攻击。Web应用程序的安全问题是一个复杂的综合问题,在Web应用程序开发阶段就应予以重视,分别从数据库设计、程序设计、Web服务器等三个层面去考虑如何加强Web应用程序的安全性。关键词:Web应用程序;Web安全;安全弱点;安全漏洞;Web开发中图分类号:TP393.08进入二十一世纪以来,互联网以惊人的速度在屮国应

2、用和普及。互联网已经成为一项重要的社会基础设施,Web应用也逐渐成为软件开发的主流Z—[1]。Web页面是所有互联网应用的主要界面和入口,各行业信息化过程中的应用几乎都架设在Web平台上,关键业务也通过Web网站來实现。经过调查发现:目前,传统的大多数企事业网站通常采用防火墙、入侵检测/漏洞扫描等技术作为网站边界的防护[2]。尽管防火墙、入侵检测等技术已经比较成熟,Web应用的特殊性往往导致防范各类安全性问题的难度很大,因为Web应用攻击通常来自应用层,并且可能来自任何在线用户,甚至包括已经通过认证的用户[3]。同时,对Web应用程序的攻击也可以说是形形色色、种类繁多,

3、常见的有挂马、SQL注入、缓冲区溢出等。正是因为这样,Web应用程序最容易遭受攻击,Web应用程序的安全性变得越来越重要。1Web应用的安全弱点Web应用木身具有一些安全弱点,归纳起来有以下儿点:(1)TCP/IP协议本身的缺陷。(2)网络结构的不安全性。(3)数据窃听。(4)验证手段的有效性问题。(5)人为因素。2Web应用程序的安全漏洞根据Symantec发布的《SymantecInternetSecurltythreatxeportz》,60%以上的软件安全漏洞是关于Web应用的[4]o开放式Web应用程序安全项目(openWebapplIcatlonSecurl

4、typroject,0WASP)在2010年公布的Web应用十大安全漏洞中[5]:(1)注入漏洞。(2)跨站脚本漏洞。(3)失败的认证和会话管理。(4)直接对象引用隐患。(5)CSRF跨站点请求伪造。(1)安全配置错误。(2)限制URL访问失败。(3)尚未验证的访问重定向。(9)不安全的密码存储。(10)传输层保护不足。另外还值得一提的是,很多程序员常使用网上一些公开免费的源码模版来开发Web应用程序,公开的源码的安全性低,非常容易让黑客找到源码的漏洞,从而威胁到Web应用程序的安全。1Web应用程序开发中的安全对策一个Web系统由Web服务器系统、Web客户端系统和I

5、nternet网络组成[6]。这三个系统都会产牛Web应用程序的安全问题,所以Web应用程序的安全问题是一个复杂的综合问题。在Web应用程序开发阶段就应对于安全问题予以重视,下面分别从数据库设计、程序设计、服务器等三个层面去考虑如何加强Web应用程序的安全性。3.1数据库设计层面数据库存放着Web应用程序最重要的部分:数据。在开发过程屮的数据库设计阶段就应该考虑好安全问题,以下建议有助于提高其安全性。(1)在设计数据库时如果涉及跨库操作,应尽量使用视图来实现。视图可以让用户或者程序开发人员只看到他们所需要的数据,而不需要把表中的所有信息与字段暴露出来,这样增强了数据的安

6、全性。(2)对数据库的操作使用存储过程。(3)注意使用数据库建表时的字段类型,不要用可能被修改的字段做主键,否则会给相关记录的更新带来隐患。(4)尽量避免大事务的处理。(5)尽量避免使用游标。3.2程序设计层面目前大多数的网络攻击和互联网安全事件源于应用软件自身的脆弱性,而其根源来自程序开发者在网页程序编制过程屮缺乏相关的安全意识和知识,并且开发完成后也缺乏相应的代码检测机制和手段。这些脆弱性在H后就成为了黑客用来发动攻击、进行页面篡改、以及布放和传播网页木马的最有效途径[7]。Web应用系统形式多样,但英内在特征基本一致,即具有较强的交互性并且使用数据库系统。由于SQ

7、L注入使用SQL语法,从技术上讲,凡是Web应用中构造SQL语句的步骤均存在潜在的攻击风险。因此,如果对用户的输入不做合法性验证,就不能避免SQL注入的发生[8]o作为Web应用程序的开发者,决不能假定用户不会有恶意行为,也不能假定用户输入的数据都是安全的。对恶意的用户来说,从客户端向Web应用程序发送具冇潜在危险的数据是很容易的。程序也可能冇未被检查出的错误和漏洞,会成为攻击者下手的对象。对此开发者在设计和开发Web应用程序时应采取必要的安全设计措施:(1)対用户输入的数据进行客户端验证和服务器端验证,严禁非法数据进入数据库。Web应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。