1、Java,WebJava,Web 应用程序安全技术研究应用程序安全技术研究 摘 要:现阶段,Java Web 技术较为成熟,其是现代社会中应用非常普遍的技术。就目前状况而言,Java Web 技术依然存在着一些较为明显的缺陷,在一定程度上降低了信息传送过程的安全性。结合工作经验与相关理论知识,在本文中探讨了 Java 应用程序安全技术,供有关人员参考借鉴。关键词:应用程序;安全技术;研究 近年来,基于 Web 的应用系统俨然已经成为发展速度最快的计算机应用系统之一,在民用与军用领域都发挥着不可替代的作用。然而应当看到的,一些不良因素会降低 Web 技术的安全性,最终影响技术的应用。为此,有关方
2、面必须要采取有效措施以提升 Web 技术的安全系数。1 Web 应用程序所面临的威胁 Web 应用程序是基于 HTTP 基础开发的,该程序由客户端以及服务器两大基本结构构成,主要功能是处理客户端请求并发送相关的数据。现阶段各种应用程序面临着较高的风险,Web 程序自然也不例外。通过分析,可以发现 Web 程序面临的安全威胁主要包括通信过程的安全威胁、客户端安全威胁以及服务端安全威胁1。黑客攻击 Web 应用程序,通过破坏通信过程促使通信数据的完整性以及机密性受到严重的损害。黑客破坏 Web 应用程序、盗取信息的途径还有攻击 Web 应用程序的客户端,主要方式是借助恶意代码利用客户端的安全漏洞。
3、某些情况下,客户端存在着缺陷为恶意代码的运行提供便利的条件,恶意代码直接在程序中执行,所造成的危害也将会更加巨大。除此之外,黑客还有可能利用 Web 服务端代码的隐藏缺陷来攻击程序,与此同时,基于部分服务端存在着运行支撑环境缺陷,黑客还会通过利用支撑环境缺陷的形式来实现窃取有用信息的目的。2 Web 安全研究 2.1 Ajax 作为一种创建交互式的网页开发技术,Ajax 面世后受到了信息界的广泛关注。Ajax 技术在程序中应用能够实现后台异步数据读取的功能,如此能有效地提升用户操作的简便性。互联网技术的研发初衷是提升用户的操作体验,实现程序与用户之间的良好交互,所以 Ajax 技术的应用前景十
4、分广阔。然而也应当看到 Ajax 技术的缺陷,该技术的应用时间相对较短,也就是说Ajax 属于新技术范畴,而任何一种信息技术都需要经过大量的实践检验方能日益完善,所以理论上 Ajax 依然可能存在着许多隐藏的缺陷,因此 Ajax 所面临的安全风险相对较高。为了最大程度地提升 Ajax 技术的应用安全,应当在在其中嵌入相应的保护性程序。通常情况下,如果页面发生改变,则需要及时通知用户,与此同时,为了保护用户信息的安全,需要在服务器与客户端检查用户的输入信息是否准确可靠。某些情况下,服务器可能需要开展用户认证工作,而认证工作应当在所用服务器脚本上展开,如此能够最大程度地保障认证工作的质量、降低信息
5、被盗取的概率。此外,应用程序客户端应当对各类返回数据进行检验2。2.2 cookie 对于程序员而言,cookie 并不陌生,这是一种为了增强用户身份识别工作简便性与准确性的数据。Cookie 能够帮助应用程序服务器实现快速识别用户信息的目的,换句话讲,应用 cookie 技术后,用户认证信息会被即时储存,下一次服务器便能夠快速地识别提取用户信息,从而省去大量的信息认证程序,在人人追求高效率的今天,cookie 技术的应用具有极为重要的现实意义。在看到 cookie 技术的便利性的同时,也应当清醒地认识到该技术的不足之处。在过去的几年内,经常发生黑客攻击应用 cookie 技术的网站而造成用户
6、信息与机密网络数据泄漏的案件,造成了极大的损失。统计数据显示,web 蠕虫以及XSS/CSRF 是威胁 cookie 技术应用的主要病毒形式。web 蠕虫病毒的破坏力与传播性极强,其利用应用程序的安全漏洞进行传播。Web 蠕虫的主要危害包括执行恶意脚本、劫持回话以及盗取用户的 cookie 信息。就目前状况而言,由于技术上的限制,技术人员依旧无法有效解决 web 蠕虫病毒感染问题,而随着信息技术的迅猛发展,相信在不久的将来,人们能够寻找到抵御 web 蠕虫病毒风险的有效方法。CSRF 能够伪装成网站受信任用户的请求,在网站接收到伪装请求后,CRSF 便能利用该网站。一般认为,CSRF 病毒出现
7、频率不高,所以业界并没有针对该病毒的有效防范措施,所以某种意义上,CRSF 病毒的危险性极高。通常情况下,能够通过增加人机交互环节的形式来降低程序受病毒攻击的风险,可以增加双因素口令卡以及图片验证码以避免客户端脚本访问用户的 cookie。2.3 JavaScript JavaScript 是一种较为安全的脚本语言,其是基于对象和事件驱动技术研发的。基于 JavaScript 技术开发的网页具有生动简洁的优势,同时又由于语言比较简便易学,因此 JavaScript 受到了广大专业程序员以及编程爱好者的欢迎。就目前而言,函数句柄劫持以及 DOM 劫持是 JavaScript 网页的主要威胁。函数
8、句柄劫持是黑客常见的攻击应用 JavaScript 语言的程序的手段,其通过重新赋值或者定义的方式来实现攻击程序或者网站的目的。某些情况下,被劫持函数的原有句柄副本并不会被黑客保留,这种状况下的函数反劫持工作具有极高的难度。DOM 劫持也是较为常见的劫持方式,需要特别指出的是,在 document 对象被恶意代码劫持后,函数句柄反劫持手段将不会发挥任何作用。目前,国内信息安全人才储备不足,“白帽黑客”的概念未能深深扎根于互联网行业之中,因此应当采取有效措施提高在岗信息安全人员的综合素质,并大力引进高素质、复合型人才,与此同时,需要不断更新程序架构,完善各种脚本语言。3 结语 互联网技术与信息技术深刻地影响了人类的文明进程,赋予了人类无穷的乐趣,鉴于目前 Java web 应用程序依然存在着较多安全缺陷的情况,信息安全人员应当积极学习先进的科学技术知识、不断提升自身综合素质,勇于开拓创新,如此方能最大程度地促进信息行业的长足进步。参考文献:1冯扬.云安全技术研究J.电力信息与通信技术,2014(01).2谭琳.网络考试系统中安全技术研究J.现代商贸工业,2013(02).