J2EE環(huán)境下WEB應(yīng)用的代碼安全問題研究及實(shí)踐.pdf

1、隨著互聯(lián)網(wǎng)的不斷普及與發(fā)展，越來越多的應(yīng)用從傳統(tǒng)模式延伸至網(wǎng)絡(luò)。人們可以方便的通過網(wǎng)絡(luò)進(jìn)行銀行轉(zhuǎn)賬，產(chǎn)品購(gòu)買。這其中大部分的應(yīng)用是基于Web瀏覽器的，Web應(yīng)用程序的增多使得其安全問題變得越來越受關(guān)注。由于Web應(yīng)用采用的是典型的客戶端/服務(wù)器模型，客戶端向服務(wù)器發(fā)出請(qǐng)求，服務(wù)器通過執(zhí)行操作（如將信息發(fā)回客戶端）做出響應(yīng)。在這種模型下，絕大部分的商業(yè)邏輯及數(shù)據(jù)操作都在服務(wù)器端執(zhí)行，如輸入數(shù)據(jù)的校驗(yàn)，用戶權(quán)限的檢查，數(shù)據(jù)庫(kù)記錄的查詢、修改

2、及刪除，動(dòng)態(tài)頁(yè)面的生成。因此，服務(wù)器端的代碼安全就顯得及其重要。
　　由于絕大多數(shù)Web應(yīng)用程序需要存儲(chǔ)和查詢數(shù)據(jù)，而SQL是數(shù)據(jù)庫(kù)領(lǐng)域中的主流語(yǔ)言，因此Web應(yīng)用中大量地使用到SQL。SQL注入是一種攻擊方式，在這種攻擊方式中，惡意代碼被插入到字符串中，然后將該字符串傳遞到數(shù)據(jù)庫(kù)服務(wù)器的實(shí)例以進(jìn)行分析和執(zhí)行。本文分析了SQL注入產(chǎn)生的原因及在代碼中如何避免此類漏洞帶來的攻擊，并對(duì)不同的方案進(jìn)行了比較及驗(yàn)證。
　　XSS是另

3、外一種經(jīng)常出現(xiàn)在Web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁(yè)面中。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略。本文分析了XSS產(chǎn)生的原因及在代碼中如何避免這種類型的攻擊，并對(duì)不同的方案進(jìn)行了比較及驗(yàn)證。
　　即使服務(wù)器端和客戶端的代碼都是安全的，無明顯可利用的漏洞。但由于服務(wù)器及客戶端之間的數(shù)據(jù)傳輸必須通過很多的交換機(jī)及路由器，攻擊者仍然可以從傳輸?shù)耐ǖ郎汐@取用戶賬戶等一系列的敏感信