Web應(yīng)用程序安全框架研究和實(shí)現(xiàn).pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展推動(dòng)了Web應(yīng)用程序的長足進(jìn)步，當(dāng)越來越多的企業(yè)選擇把自己的服務(wù)以網(wǎng)絡(luò)的方式推廣的時(shí)候，Web應(yīng)用程序的安全問題也隨之而來。開放網(wǎng)絡(luò)程序組織OWASP每年召開計(jì)算機(jī)安全會(huì)議，討論當(dāng)年在Web應(yīng)用程序安全突出的問題，各個(gè)著名的IT公司諸如Google，IBM，微軟等悉數(shù)參加，可見產(chǎn)業(yè)界已經(jīng)對(duì)Web應(yīng)用程序的安全問題足夠重視。根據(jù)OWASP2010年發(fā)布的年度10大漏洞報(bào)告來看，Web應(yīng)用程序最普遍的漏洞就是SQL注入和跨站

2、腳本攻擊，造成這兩大漏洞最直接的原因是因?yàn)閃eb應(yīng)用程序缺少有效的輸入驗(yàn)證機(jī)制，使得攻擊者可以把帶有腳本的語言注入到普通程序中，造成危害。由于SQL注入和跨站腳本本身在代碼中出現(xiàn)的次數(shù)可能非常頻繁，涉及幾乎所有主流的前臺(tái)開發(fā)框架，這使得程序開發(fā)人員很難有針對(duì)性的開發(fā)一套行之有效的安全框架來保護(hù)自己的程序。而本文則針對(duì)這一問題，總結(jié)了漏洞的原理和分類，先提出針對(duì)SQL注入和跨站腳本安全框架開發(fā)的諸如，使用明確的安全模型，集中驗(yàn)證，簡(jiǎn)易AP

3、I等的普適原則，再在這些原則的基礎(chǔ)上提出自己的實(shí)現(xiàn)。Web開發(fā)者可以使用本文的框架實(shí)現(xiàn)對(duì)現(xiàn)有程序的無縫連接，從而一方面保證了開發(fā)的簡(jiǎn)便性，另一方面保證了程序的安全性。
　　 另外一種類型的高頻漏洞諸如攻擊用戶會(huì)話和不安全的引用對(duì)象等都源于Web程序本身的訪問控制框架不夠完善，使得某些用戶跨越了自己的權(quán)限級(jí)別執(zhí)行了不該執(zhí)行的操作，訪問到不該訪問的數(shù)據(jù)。訪問控制框架的研究其實(shí)由來已久，訪問控制模型也由自主訪問控制模型(DAC)，強(qiáng)制

4、訪問控制模型(MAC)，演變成現(xiàn)在主流的基于角色的訪問控制(RBAC)。雖然RBAC在理論模型上有著很好的優(yōu)勢(shì)，但是在實(shí)際應(yīng)用過程中，尤其是在針對(duì)某些大型金融系統(tǒng)應(yīng)用的時(shí)候往往會(huì)產(chǎn)生某些誤區(qū)，比如多層次的RBAC框架功能上應(yīng)該如何劃分等，之前也很少有文章針對(duì)這個(gè)層次做明確的定義。本文針對(duì)這一困難，列舉了一個(gè)在實(shí)際使用的大型金融系統(tǒng)中構(gòu)造三層RBAC框架的過程，明確了每層的概念，功能和構(gòu)造方式，最后提出實(shí)現(xiàn)。最后本文希望通過對(duì)OWASP中