J2EE環(huán)境下WEB應用的代碼安全問題研究及實踐.pdf

1、隨著互聯(lián)網的不斷普及與發(fā)展，越來越多的應用從傳統(tǒng)模式延伸至網絡。人們可以方便的通過網絡進行銀行轉賬，產品購買。這其中大部分的應用是基于Web瀏覽器的，Web應用程序的增多使得其安全問題變得越來越受關注。由于Web應用采用的是典型的客戶端/服務器模型，客戶端向服務器發(fā)出請求，服務器通過執(zhí)行操作（如將信息發(fā)回客戶端）做出響應。在這種模型下，絕大部分的商業(yè)邏輯及數據操作都在服務器端執(zhí)行，如輸入數據的校驗，用戶權限的檢查，數據庫記錄的查詢、修改

2、及刪除，動態(tài)頁面的生成。因此，服務器端的代碼安全就顯得及其重要。
　　由于絕大多數Web應用程序需要存儲和查詢數據，而SQL是數據庫領域中的主流語言，因此Web應用中大量地使用到SQL。SQL注入是一種攻擊方式，在這種攻擊方式中，惡意代碼被插入到字符串中，然后將該字符串傳遞到數據庫服務器的實例以進行分析和執(zhí)行。本文分析了SQL注入產生的原因及在代碼中如何避免此類漏洞帶來的攻擊，并對不同的方案進行了比較及驗證。
　　XSS是另

3、外一種經常出現(xiàn)在Web應用中的計算機安全漏洞，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略。本文分析了XSS產生的原因及在代碼中如何避免這種類型的攻擊，并對不同的方案進行了比較及驗證。
　　即使服務器端和客戶端的代碼都是安全的，無明顯可利用的漏洞。但由于服務器及客戶端之間的數據傳輸必須通過很多的交換機及路由器，攻擊者仍然可以從傳輸的通道上獲取用戶賬戶等一系列的敏感信