Web應(yīng)用安全確保技術(shù)研究與應(yīng)用.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，Web應(yīng)用在社會生活的各個方面的到了廣泛的應(yīng)用，但是由于互聯(lián)網(wǎng)環(huán)境所具有的開放性與復(fù)雜性，使得以Web應(yīng)用為代表的基于互聯(lián)網(wǎng)的應(yīng)用的安全性受到了前所未有的威脅，也使得對其安全性研究變得尤為緊迫和必要。自互聯(lián)網(wǎng)出現(xiàn)以來，包括防火墻在內(nèi)的許多安全技術(shù)已經(jīng)日臻成熟，但是Web應(yīng)用作為一種典型的面向服務(wù)的應(yīng)用架構(gòu)，本身具有不同于傳統(tǒng)應(yīng)用的特點，這使得針對于傳統(tǒng)應(yīng)用的安全確保技術(shù)不足以為Web應(yīng)用提供足夠的安全防護(hù)。

2、r>　　傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)以及網(wǎng)絡(luò)安全設(shè)備大多工作于網(wǎng)絡(luò)層，但是針對于 Web應(yīng)用的諸多攻擊在網(wǎng)絡(luò)層的表現(xiàn)和正常訪問差別不大，而對于OWASP所發(fā)布的十大Web應(yīng)用安全威脅多屬于這一類攻擊，可見傳統(tǒng)的安全措施無法對Web應(yīng)用提供足夠的安全確保。另一方面對于安全的研究也由最初的“檢”和“防”發(fā)展到了“容”，即要求應(yīng)用對安全威脅具有一定的容忍能力，這一能力被定義為生存性。
　　針對于Web應(yīng)用的安全威脅，以威脅最嚴(yán)重的SQL注入攻擊和

3、跨站點腳本攻擊為切入點，并對Web應(yīng)用的生存性進(jìn)行了研究，提出了基于反向代理的Web應(yīng)用攻擊檢測系統(tǒng)和可生存的Web應(yīng)用恢復(fù)方案。最終結(jié)合傳統(tǒng)安全技術(shù)提出了一個針對于Web應(yīng)用的安全確保框架。
　　首先對傳統(tǒng)Web應(yīng)用安全研究以及對Web應(yīng)用安全性進(jìn)行研究的現(xiàn)實意義進(jìn)行了分析；然后對SQL注入攻擊、跨站點腳本攻擊原理進(jìn)行了研究，并根據(jù)生存性形式化定義模型提出了一個針對與Web應(yīng)用特點的生存性形式化度量方法；基于上述研究成果，提出了