Web 应用安全及防护 杨利恒 (浙江省电子产品检验所 浙江 杭州 310012) 【摘要】 越来越多的应用程序向web方式转变、 Web应用的安全问题也日益突出。 本文主要介绍Web应用安全技术、 WEB应用漏洞特征、 WEB安全应用防范措施及WEB应用安全风险评估。 【关键词】 Web应用安全、 Web漏洞、 安全评估 一、 引言 Internet应用发展到现在, 基于WEB和数据库架构的应用系统已经逐步成为主流, 广泛应用于政府、 企事业单位。 但同时这些新的应用也给互联网带来新的安全问题, 随着安全漏洞的增加, 承载在新兴应用和技术上的攻击也不断出现。 毋庸置疑, Web应用越来...
Web 应用安全及防护 杨利恒 (浙江省电子产品检验所 浙江 杭州 310012) 【摘要】 越来越多的应用程序向web方式转变、 Web应用的安全问题也日益突出。 本文主要介绍Web应用安全技术、 WEB应用漏洞特征、 WEB安全应用防范措施及WEB应用安全风险评估。 【关键词】 Web应用安全、 Web漏洞、 安全评估 一、 引言 Internet应用发展到现在, 基于WEB和数据库架构的应用系统已经逐步成为主流, 广泛应用于政府、 企事业单位。 但同时这些新的应用也给互联网带来新的安全问题, 随着安全漏洞的增加, 承载在新兴应用和技术上的攻击也不断出现。 毋庸置疑, Web应用越来越为丰富, Web服务器以其强大的计算能力和处理性能逐渐成为攻击的目标。 网页篡改、 敏感信息泄露、 拒绝服务、 蠕虫等等, 都是频繁发生的事例。 国家计算机网络应急技术处理协调中心(简称CNCERT/ CC) 2009年上半年的工作报告显示: 网站安全漏洞百出, 中国内地被篡改的网站数量明显上升, 总数达到32897个, 比去年全年增加近l6%。在信息安全权威机构SANS2008年发布的全球互联网20大安全攻击目标排行榜上, Web应用安全漏洞也是“名列前茅” 。 web应用的安全问题已日益突出: 一方面, 在利用ASP, PHP, Jsp/ Servlet和CGI等技术开发Web应用的过程中, 开发人员更多地关注程序的可用性, 而常常忽略了程序的安全性和所用技术本身存在的安全隐患, 使Web应用的安全问题越来越突出; 另一方面, 由于Web站点的开放性, 传统的包过滤防火墙无法对具体的访问IP地址进行限制, 致使通过8O端口的攻击者可以躲过防火墙, 使得对Web应用的攻击难于防范。 目前网络中常见的攻击已经由传统的系统漏洞攻击逐步演变为对应用自身弱点的攻击, 其中最常见的攻击技术就是针对web应用的SQL注入和跨站脚本攻击。 据美国权威Web安全非赢利组织OWASP发布的10大Web应用脆弱性排名显示, “跨站脚本攻击、注入式攻击、 不安全的远程文件包含” 已经成为影响Web应用安全的首要问题。 如何保证Web应用的安全, 已经成为制约Web应用进一步发展的关键问题。 本文从Web应用的安全问题着手, 指出了Web应用的技术体系构架、 web应用中存在的各种安全漏洞、 WEB应用安全的保护措施、 WEB应用安全的评估方法, 从而达到Web应用安全的保护。 二、 Web应用安全概述 2. 1Web应用的体系结构
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
