Web应用程序安全框架研究和实现

来源 :浙江大学 | 被引量 : 0次 | 上传用户:rechen216
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
计算机网络的发展推动了Web应用程序的长足进步,当越来越多的企业选择把自己的服务以网络的方式推广的时候,Web应用程序的安全问题也随之而来。开放网络程序组织OWASP每年召开计算机安全会议,讨论当年在Web应用程序安全突出的问题,各个著名的IT公司诸如Google,IBM,微软等悉数参加,可见产业界已经对Web应用程序的安全问题足够重视。根据OWASP2010年发布的年度10大漏洞报告来看,Web应用程序最普遍的漏洞就是SQL注入和跨站脚本攻击,造成这两大漏洞最直接的原因是因为Web应用程序缺少有效的输入验证机制,使得攻击者可以把带有脚本的语言注入到普通程序中,造成危害。由于SQL注入和跨站脚本本身在代码中出现的次数可能非常频繁,涉及几乎所有主流的前台开发框架,这使得程序开发人员很难有针对性的开发一套行之有效的安全框架来保护自己的程序。而本文则针对这一问题,总结了漏洞的原理和分类,先提出针对SQL注入和跨站脚本安全框架开发的诸如,使用明确的安全模型,集中验证,简易API等的普适原则,再在这些原则的基础上提出自己的实现。Web开发者可以使用本文的框架实现对现有程序的无缝连接,从而一方面保证了开发的简便性,另一方面保证了程序的安全性。   另外一种类型的高频漏洞诸如攻击用户会话和不安全的引用对象等都源于Web程序本身的访问控制框架不够完善,使得某些用户跨越了自己的权限级别执行了不该执行的操作,访问到不该访问的数据。访问控制框架的研究其实由来已久,访问控制模型也由自主访问控制模型(DAC),强制访问控制模型(MAC),演变成现在主流的基于角色的访问控制(RBAC)。虽然RBAC在理论模型上有着很好的优势,但是在实际应用过程中,尤其是在针对某些大型金融系统应用的时候往往会产生某些误区,比如多层次的RBAC框架功能上应该如何划分等,之前也很少有文章针对这个层次做明确的定义。本文针对这一困难,列举了一个在实际使用的大型金融系统中构造三层RBAC框架的过程,明确了每层的概念,功能和构造方式,最后提出实现。最后本文希望通过对OWASP中漏洞的有针对性的解决,可以让Web应用程序在安全框架的解决方案上有更多更好的思路。
其他文献
随着互联网的快速发展,以及虚拟化技术的不断成熟,云计算作为一种新型商业计算模式,得到了迅猛发展,目前已成为企业和学者的研究热点,在科研,医学,网络安全等各个领域都有着
在物联网的关键技术分支中,射频识别(RFID,Radio Frequency Identification)技术是一种非接触的自动识别技术,已广泛应用在交通运输、工业自动化等众多领域,被誉为21世纪最具
随着科学技术的发展,数据规模不断增大,特别是以计算机和互联网为基础的应用中数据爆炸式的增长,这也使得大量的异构数据的获得成为了可能。海量的异构数据带来丰富信息的同
随着计算机网络的不断普及,网络中的业务类型也得到了不断的扩展,各种新型应用业务对网络传输的要求也在不断的增加。为了保证网络传输服务能够正常有效的运行,现有的办法是保证
有效的对火灾进行监控是森林防火的关键技术。目前基于图像处理的林火监测方法是监测火灾发生时生成的烟雾,经信号处理、比较和判断后发出火灾报警信号。对于蔓延较慢的火灾
随着电子、信息、通讯、计算机等高新技术的飞速发展,电子稳像技术作为最新一代的稳像方法已经在日常生活中被广泛应用。从军事领域到民用范围,各个领域都能看到电子稳像技术
穿衣着装是我们的日常活动之一。随着计算机性能的提高和计算图形理论的日趋完善,布料模拟和人体模型动画在迅速发展,这使得设计并实现虚拟着装真实感算法成为了可能。本文的
雾天时,受大气散射作用的影响,获取图像的对比度和颜色都会出现退化,图像中包含的许多特征都会被覆盖或变的模糊,图像的对比度很低,给户外视频监控系统带来了严重的影响,因此
语音信号处理是现代通信研究的重要内容之一,语音压缩编码作为其关键技术,如今得到了极大的发展。因此对语音编码相关知识的深入学习、理解和研究,具有重要的意义。本文通过
随着中国高速铁路事业的蓬勃发展,虚拟现实技术和铁路交通领域的结合也越来越紧密。列车视景仿真系统则是其中的一个应用,它不但能够适用于机组编车、运行监控、线路铺设等复