Web應(yīng)用程序安全框架研究和實現(xiàn).pdf

1、計算機網(wǎng)絡(luò)的發(fā)展推動了Web應(yīng)用程序的長足進步，當越來越多的企業(yè)選擇把自己的服務(wù)以網(wǎng)絡(luò)的方式推廣的時候，Web應(yīng)用程序的安全問題也隨之而來。開放網(wǎng)絡(luò)程序組織OWASP每年召開計算機安全會議，討論當年在Web應(yīng)用程序安全突出的問題，各個著名的IT公司諸如Google，IBM，微軟等悉數(shù)參加，可見產(chǎn)業(yè)界已經(jīng)對Web應(yīng)用程序的安全問題足夠重視。根據(jù)OWASP2010年發(fā)布的年度10大漏洞報告來看，Web應(yīng)用程序最普遍的漏洞就是SQL注入和跨站

2、腳本攻擊，造成這兩大漏洞最直接的原因是因為Web應(yīng)用程序缺少有效的輸入驗證機制，使得攻擊者可以把帶有腳本的語言注入到普通程序中，造成危害。由于SQL注入和跨站腳本本身在代碼中出現(xiàn)的次數(shù)可能非常頻繁，涉及幾乎所有主流的前臺開發(fā)框架，這使得程序開發(fā)人員很難有針對性的開發(fā)一套行之有效的安全框架來保護自己的程序。而本文則針對這一問題，總結(jié)了漏洞的原理和分類，先提出針對SQL注入和跨站腳本安全框架開發(fā)的諸如，使用明確的安全模型，集中驗證，簡易AP

3、I等的普適原則，再在這些原則的基礎(chǔ)上提出自己的實現(xiàn)。Web開發(fā)者可以使用本文的框架實現(xiàn)對現(xiàn)有程序的無縫連接，從而一方面保證了開發(fā)的簡便性，另一方面保證了程序的安全性。
　　 另外一種類型的高頻漏洞諸如攻擊用戶會話和不安全的引用對象等都源于Web程序本身的訪問控制框架不夠完善，使得某些用戶跨越了自己的權(quán)限級別執(zhí)行了不該執(zhí)行的操作，訪問到不該訪問的數(shù)據(jù)。訪問控制框架的研究其實由來已久，訪問控制模型也由自主訪問控制模型(DAC)，強制

4、訪問控制模型(MAC)，演變成現(xiàn)在主流的基于角色的訪問控制(RBAC)。雖然RBAC在理論模型上有著很好的優(yōu)勢，但是在實際應(yīng)用過程中，尤其是在針對某些大型金融系統(tǒng)應(yīng)用的時候往往會產(chǎn)生某些誤區(qū)，比如多層次的RBAC框架功能上應(yīng)該如何劃分等，之前也很少有文章針對這個層次做明確的定義。本文針對這一困難，列舉了一個在實際使用的大型金融系統(tǒng)中構(gòu)造三層RBAC框架的過程，明確了每層的概念，功能和構(gòu)造方式，最后提出實現(xiàn)。最后本文希望通過對OWASP中