彭昊辰　郑金磊

摘 要：现阶段，Java Web技术较为成熟，其是现代社会中应用非常普遍的技术。就目前状况而言，Java Web技术依然存在着一些较为明显的缺陷，在一定程度上降低了信息传送过程的安全性。结合工作经验与相关理论知识，在本文中探讨了Java 应用程序安全技术，供有关人员参考借鉴。

关键词：应用程序；安全技术；研究

近年来，基于Web的应用系统俨然已经成为发展速度最快的计算机应用系统之一，在民用与军用领域都发挥着不可替代的作用。然而应当看到的，一些不良因素会降低Web技术的安全性，最终影响技术的应用。为此，有关方面必须要采取有效措施以提升Web技术的安全系数。

1 Web应用程序所面临的威胁

Web应用程序是基于HTTP基础开发的，该程序由客户端以及服务器两大基本结构构成，主要功能是处理客户端请求并发送相关的数据。现阶段各种应用程序面临着较高的风险，Web程序自然也不例外。通过分析，可以发现Web程序面临的安全威胁主要包括通信过程的安全威胁、客户端安全威胁以及服务端安全威胁[1]。

黑客攻击Web应用程序，通过破坏通信过程促使通信数据的完整性以及机密性受到严重的损害。黑客破坏Web应用程序、盗取信息的途径还有攻击Web应用程序的客户端，主要方式是借助恶意代码利用客户端的安全漏洞。某些情况下，客户端存在着缺陷为恶意代码的运行提供便利的条件，恶意代码直接在程序中执行，所造成的危害也将会更加巨大。除此之外，黑客还有可能利用Web服务端代码的隐藏缺陷来攻击程序，与此同时，基于部分服务端存在着运行支撑环境缺陷，黑客还会通过利用支撑环境缺陷的形式来实现窃取有用信息的目的。

2 Web安全研究

2.1 Ajax

作为一种创建交互式的网页开发技术，Ajax面世后受到了信息界的广泛关注。Ajax技术在程序中应用能够实现后台异步数据读取的功能，如此能有效地提升用户操作的简便性。互联网技术的研发初衷是提升用户的操作体验，实现程序与用户之间的良好交互，所以Ajax技术的应用前景十分广阔。

然而也应当看到Ajax技术的缺陷，该技术的应用时间相对较短，也就是说Ajax属于新技术范畴，而任何一种信息技术都需要经过大量的实践检验方能日益完善，所以理论上Ajax依然可能存在着许多隐藏的缺陷，因此Ajax所面临的安全风险相对较高。为了最大程度地提升Ajax技术的应用安全，应当在在其中嵌入相应的保护性程序。通常情况下，如果页面发生改变，则需要及时通知用户，与此同时，为了保护用户信息的安全，需要在服务器与客户端检查用户的输入信息是否准确可靠。某些情况下，服务器可能需要开展用户认证工作，而认证工作应当在所用服务器脚本上展开，如此能够最大程度地保障认证工作的质量、降低信息被盗取的概率。此外，应用程序客户端应当对各类返回数据进行检验[2]。

2.2 cookie

对于程序员而言，cookie并不陌生，这是一种为了增强用户身份识别工作简便性与准确性的数据。Cookie能够帮助应用程序服务器实现快速识别用户信息的目的，换句话讲，应用cookie技术后，用户认证信息会被即时储存，下一次服务器便能够快速地识别提取用户信息，从而省去大量的信息认证程序，在人人追求高效率的今天，cookie技术的应用具有极为重要的现实意义。

在看到cookie技术的便利性的同时，也应当清醒地认识到该技术的不足之处。在过去的几年内，经常发生黑客攻击应用cookie技术的网站而造成用户信息与机密网络数据泄漏的案件，造成了极大的损失。统计数据显示，web蠕虫以及XSS/CSRF是威胁cookie技术应用的主要病毒形式。

web蠕虫病毒的破坏力与传播性极强，其利用应用程序的安全漏洞进行传播。Web蠕虫的主要危害包括执行恶意脚本、劫持回话以及盗取用户的cookie信息。就目前状况而言，由于技术上的限制，技术人员依旧无法有效解决web蠕虫病毒感染问题，而随着信息技术的迅猛发展，相信在不久的将来，人们能够寻找到抵御web蠕虫病毒风险的有效方法。

CSRF能够伪装成网站受信任用户的请求，在网站接收到伪装请求后，CRSF便能利用该网站。一般认为，CSRF病毒出现频率不高，所以业界并没有针对该病毒的有效防范措施，所以某种意义上，CRSF病毒的危险性极高。通常情况下，能够通过增加人机交互环节的形式来降低程序受病毒攻击的风险，可以增加双因素口令卡以及图片验证码以避免客户端脚本访问用户的cookie。

2.3 JavaScript

JavaScript是一种较为安全的脚本语言，其是基于对象和事件驱动技术研发的。基于JavaScript技术开发的网页具有生动简洁的优势，同时又由于语言比较简便易学，因此JavaScript受到了广大专业程序员以及编程爱好者的欢迎。就目前而言，函数句柄劫持以及DOM劫持是JavaScript网页的主要威胁。

函数句柄劫持是黑客常见的攻击应用JavaScript语言的程序的手段，其通过重新赋值或者定义的方式来实现攻击程序或者网站的目的。某些情况下，被劫持函数的原有句柄副本并不会被黑客保留，这种状况下的函数反劫持工作具有极高的难度。

DOM劫持也是较为常见的劫持方式，需要特别指出的是，在document对象被恶意代码劫持后，函数句柄反劫持手段将不会发挥任何作用。目前，国内信息安全人才储备不足，“白帽黑客”的概念未能深深扎根于互联网行业之中，因此应当采取有效措施提高在岗信息安全人员的综合素质，并大力引进高素质、复合型人才，与此同时，需要不断更新程序架构，完善各种脚本语言。

3 结语

互联网技术与信息技术深刻地影响了人类的文明进程，赋予了人类无穷的乐趣，鉴于目前Java web 应用程序依然存在着较多安全缺陷的情况，信息安全人员应当积极学习先进的科学技术知识、不断提升自身综合素质，勇于开拓创新，如此方能最大程度地促进信息行业的长足进步。

参考文献：

[1]冯扬.云安全技术研究[J].电力信息与通信技术，2014（01）.

[2]谭琳.网络考试系统中安全技术研究[J].现代商贸工业，2013（02）.