Java Web应用程序安全技术
2019-12-01赵恒
文/赵恒
以Web为基础的应用系统在互联网领域中的发展速度不断加快,是一种新型的计算机应用系统。无论是企业亦或是机构内的计算机应用系统,都以Web技术为主。由此可见,深入研究并分析Java Web应用程序安全技术具有一定的现实意义。
1 Java Web应用程序安全问题阐释
Web应用程度主要是以Web为基础所开发的应用程序,而基本组件就是服务器与客户端,能够对客户端基本请求加以读取,进而向客户端发送必要的数据。对于服务器端和客户端通信协议来讲,重要基础就是HTTP,结合具体的安全级别,对加密SSL/TLS协议等进行合理地运用,确保通信更加完整。但因为因特网存在安全漏洞,所以Web应用程序的安全问题也逐渐突显出来,集中表现在以下三个方面:
1.1 客户端
具体指的就是客户端开发技术安全漏洞被恶意代码所利用,或者是受到客户端浏览器的缺陷影响,对恶意代码进行执行。
1.2 服务器端
具体指的就是Web应用程序服务器端代码隐蔽问题被利用,也可能是运行支撑环境存在问题。
1.3 通信过程
对通信过程造成安全威胁的具体表现就是窃听信息内容或者是篡改通信数据,使得Web应用程序通信数据完整性受到了严重影响。
2 Java Web应用程序的关键安全技术
2.1 Ajax
Ajax属于网页开发技术,其主要的功能就是对交互式网页应用加以创建。而从本质上来讲,Ajax也是JavaScript的对象。通过对Ajax的合理化应用,可以有效读取后台异步数据信息,并且能够动态化地显示页面并实现交互目标。无需对浏览器窗口进行刷新处理,就能够与用户操作需求相适应,也使得客户端用户体验不断增强。
虽然Ajax所具备的即时数据反馈优势能够强化用户交互的效果,然而同样也存在一定的危险。即便未增加既有Web程序安全漏洞,但因为Ajax技术相对先进,所以在实践方面并不具备成熟的经验。在这种情况下,较之于传统的Web程序,Ajax程度漏洞会更多。要想确保数据的安全性,并规避泄漏问题的发生,就应当在改变页面状态的情况下,向用户详细地告知。与此同时,要通过客户端与服务器端校验用户输入的内容。对于客户端而言,则需要在对服务器返回数据进行处理的基础上完成校验工作。若服务器要求进行用户认证,则要针对全部服务端的脚本实施必要的认证检查工作。
2.2 JavaScript
JavaScript是脚本语言,将对象与事件驱动技术作为重要基础,安全性较强。但是,在对JavaScript实际应用的过程中,网页相对生动活泼,而且设计网页的过程中JavaScript学习难度不大且操作便捷,只要采取特殊性的方式,就能够使网页可观性不断增强。受上述优势的影响,使得JavaScript在大部分浏览器中得到了广泛应用。现阶段,最常见的劫持方法不低于两种,即DOM劫持与函数句柄劫持。
其中,DOM劫持指的就是对DOM节点进行劫持。若恶意代码对DOM对象进行劫持,那么必然会重新定义createElement方法,最终导致函数句柄的反劫持方法丧失应用的功效。
对于函数句柄劫持来讲,则是利用特定标准JavaScript函数亦或是对浏览器对象内部方法加以利用完成重新定义亦或是赋值的任务。然而,在具体环境当中,恶意代码很容易不对被劫持函数原有的句柄副本进行保留,直接增加了函数反劫持的难度。
在这种情况下,JavaScript函数的反劫持技术就是所需攻克的难点,有效防范反劫持技术,需借助Web应用程序服务器端验证代码逻辑,有效地规避用户上交内容中的客户端脚本劫持代码。
2.3 Cookie
所谓Cookie,则是部分网络为对用户身份加以辨别或者是跟踪session而在用户本地终端所存储的数据。主要的功能就是服务器能够对Cookie涵盖信息任意性进行筛选,并对信息内容展开定期维护,以保证对HTTP传输状态做出判断。现阶段,很多浏览器都会将Cookie技术兼容其中,为网站保存访问者相关信息提供必要的帮助。然而,对Cookie技术进行使用的过程中,也会为网络黑客提供契机,导致数据的泄漏问题经常发生,而最常见的技术是CSRF与Web蠕虫。
CSRF就是恶意利用网站,这和XSS相比存在一定的差异。特别是攻击方式方面,XSS主要会对站点内部信任用户加以利用,但是CSRF则会在伪装的基础上对受信任的网站加以利用。较之于XSS攻击,CSRF攻击的防范难度较大,因此其危险性也不言而喻。在这种情况下,要求将人机交互环节加入其中,特别是双因素口令卡与图片验证码等,以免客户端脚本会访问Cookie用户,如果有必要,还应当将水印添加在敏感操作当中。
对于蠕虫来讲,则会严重威胁网站与社区类型的站点,通过对Web应用程序缺陷的应用,结合Web应用程度特征加以传播。一般情况下,被攻击的目标主要包括恶意脚本执行、网页篡改以及用户Cookie窃取等等。
3 结束语
综上所述,伴随互联网技术和信息技术的全面可持续发展,Java Web应用程序在实际应用方面仍存在诸多不足之处,所以作为信息安全工作人员,必须要对现代化科技知识加以学习,进一步优化自身的综合素质水平,才能够实现现代信息行业的进步与改进。
