Web應用安全確保技術研究與應用.pdf

1、隨著互聯(lián)網技術的不斷發(fā)展，Web應用在社會生活的各個方面的到了廣泛的應用，但是由于互聯(lián)網環(huán)境所具有的開放性與復雜性，使得以Web應用為代表的基于互聯(lián)網的應用的安全性受到了前所未有的威脅，也使得對其安全性研究變得尤為緊迫和必要。自互聯(lián)網出現(xiàn)以來，包括防火墻在內的許多安全技術已經日臻成熟，但是Web應用作為一種典型的面向服務的應用架構，本身具有不同于傳統(tǒng)應用的特點，這使得針對于傳統(tǒng)應用的安全確保技術不足以為Web應用提供足夠的安全防護。

2、r>　　傳統(tǒng)的網絡安全技術以及網絡安全設備大多工作于網絡層，但是針對于 Web應用的諸多攻擊在網絡層的表現(xiàn)和正常訪問差別不大，而對于OWASP所發(fā)布的十大Web應用安全威脅多屬于這一類攻擊，可見傳統(tǒng)的安全措施無法對Web應用提供足夠的安全確保。另一方面對于安全的研究也由最初的“檢”和“防”發(fā)展到了“容”，即要求應用對安全威脅具有一定的容忍能力，這一能力被定義為生存性。
　　針對于Web應用的安全威脅，以威脅最嚴重的SQL注入攻擊和

3、跨站點腳本攻擊為切入點，并對Web應用的生存性進行了研究，提出了基于反向代理的Web應用攻擊檢測系統(tǒng)和可生存的Web應用恢復方案。最終結合傳統(tǒng)安全技術提出了一個針對于Web應用的安全確?？蚣?。
　　首先對傳統(tǒng)Web應用安全研究以及對Web應用安全性進行研究的現(xiàn)實意義進行了分析；然后對SQL注入攻擊、跨站點腳本攻擊原理進行了研究，并根據生存性形式化定義模型提出了一個針對與Web應用特點的生存性形式化度量方法；基于上述研究成果，提出了