Web應(yīng)用安全確保技術(shù)研究與應(yīng)用.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，Web應(yīng)用在社會(huì)生活的各個(gè)方面的到了廣泛的應(yīng)用，但是由于互聯(lián)網(wǎng)環(huán)境所具有的開放性與復(fù)雜性，使得以Web應(yīng)用為代表的基于互聯(lián)網(wǎng)的應(yīng)用的安全性受到了前所未有的威脅，也使得對(duì)其安全性研究變得尤為緊迫和必要。自互聯(lián)網(wǎng)出現(xiàn)以來，包括防火墻在內(nèi)的許多安全技術(shù)已經(jīng)日臻成熟，但是Web應(yīng)用作為一種典型的面向服務(wù)的應(yīng)用架構(gòu)，本身具有不同于傳統(tǒng)應(yīng)用的特點(diǎn)，這使得針對(duì)于傳統(tǒng)應(yīng)用的安全確保技術(shù)不足以為Web應(yīng)用提供足夠的安全防護(hù)。

2、r>　　傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)以及網(wǎng)絡(luò)安全設(shè)備大多工作于網(wǎng)絡(luò)層，但是針對(duì)于 Web應(yīng)用的諸多攻擊在網(wǎng)絡(luò)層的表現(xiàn)和正常訪問差別不大，而對(duì)于OWASP所發(fā)布的十大Web應(yīng)用安全威脅多屬于這一類攻擊，可見傳統(tǒng)的安全措施無法對(duì)Web應(yīng)用提供足夠的安全確保。另一方面對(duì)于安全的研究也由最初的“檢”和“防”發(fā)展到了“容”，即要求應(yīng)用對(duì)安全威脅具有一定的容忍能力，這一能力被定義為生存性。
　　針對(duì)于Web應(yīng)用的安全威脅，以威脅最嚴(yán)重的SQL注入攻擊和

3、跨站點(diǎn)腳本攻擊為切入點(diǎn)，并對(duì)Web應(yīng)用的生存性進(jìn)行了研究，提出了基于反向代理的Web應(yīng)用攻擊檢測(cè)系統(tǒng)和可生存的Web應(yīng)用恢復(fù)方案。最終結(jié)合傳統(tǒng)安全技術(shù)提出了一個(gè)針對(duì)于Web應(yīng)用的安全確?？蚣?。
　　首先對(duì)傳統(tǒng)Web應(yīng)用安全研究以及對(duì)Web應(yīng)用安全性進(jìn)行研究的現(xiàn)實(shí)意義進(jìn)行了分析；然后對(duì)SQL注入攻擊、跨站點(diǎn)腳本攻擊原理進(jìn)行了研究，并根據(jù)生存性形式化定義模型提出了一個(gè)針對(duì)與Web應(yīng)用特點(diǎn)的生存性形式化度量方法；基于上述研究成果，提出了