Java Web應用程序安全技術研究

彭昊辰　鄭金磊

摘 要：現階段，Java Web技術較為成熟，其是現代社會中應用非常普遍的技術。就目前狀況而言，Java Web技術依然存在著一些較為明顯的缺陷，在一定程度上降低了信息傳送過程的安全性。結合工作經驗與相關理論知識，在本文中探討了Java 應用程序安全技術，供有關人員參考借鑒。

關鍵詞：應用程序；安全技術；研究

近年來，基于Web的應用系統儼然已經成為發展速度最快的計算機應用系統之一，在民用與軍用領域都發揮著不可替代的作用。然而應當看到的，一些不良因素會降低Web技術的安全性，最終影響技術的應用。為此，有關方面必須要采取有效措施以提升Web技術的安全系數。

1 Web應用程序所面臨的威脅

Web應用程序是基于HTTP基礎開發的，該程序由客戶端以及服務器兩大基本結構構成，主要功能是處理客戶端請求并發送相關的數據。現階段各種應用程序面臨著較高的風險，Web程序自然也不例外。通過分析，可以發現Web程序面臨的安全威脅主要包括通信過程的安全威脅、客戶端安全威脅以及服務端安全威脅[1]。

黑客攻擊Web應用程序，通過破壞通信過程促使通信數據的完整性以及機密性受到嚴重的損害。黑客破壞Web應用程序、盜取信息的途徑還有攻擊Web應用程序的客戶端，主要方式是借助惡意代碼利用客戶端的安全漏洞。某些情況下，客戶端存在著缺陷為惡意代碼的運行提供便利的條件，惡意代碼直接在程序中執行，所造成的危害也將會更加巨大。除此之外，黑客還有可能利用Web服務端代碼的隱藏缺陷來攻擊程序，與此同時，基于部分服務端存在著運行支撐環境缺陷，黑客還會通過利用支撐環境缺陷的形式來實現竊取有用信息的目的。

2 Web安全研究

2.1 Ajax

作為一種創建交互式的網頁開發技術，Ajax面世后受到了信息界的廣泛關注。Ajax技術在程序中應用能夠實現后臺異步數據讀取的功能，如此能有效地提升用戶操作的簡便性。互聯網技術的研發初衷是提升用戶的操作體驗，實現程序與用戶之間的良好交互，所以Ajax技術的應用前景十分廣闊。

然而也應當看到Ajax技術的缺陷，該技術的應用時間相對較短，也就是說Ajax屬于新技術范疇，而任何一種信息技術都需要經過大量的實踐檢驗方能日益完善，所以理論上Ajax依然可能存在著許多隱藏的缺陷，因此Ajax所面臨的安全風險相對較高。為了最大程度地提升Ajax技術的應用安全，應當在在其中嵌入相應的保護性程序。通常情況下，如果頁面發生改變，則需要及時通知用戶，與此同時，為了保護用戶信息的安全，需要在服務器與客戶端檢查用戶的輸入信息是否準確可靠。某些情況下，服務器可能需要開展用戶認證工作，而認證工作應當在所用服務器腳本上展開，如此能夠最大程度地保障認證工作的質量、降低信息被盜取的概率。此外，應用程序客戶端應當對各類返回數據進行檢驗[2]。

2.2 cookie

對于程序員而言，cookie并不陌生，這是一種為了增強用戶身份識別工作簡便性與準確性的數據。Cookie能夠幫助應用程序服務器實現快速識別用戶信息的目的，換句話講，應用cookie技術后，用戶認證信息會被即時儲存，下一次服務器便能夠快速地識別提取用戶信息，從而省去大量的信息認證程序，在人人追求高效率的今天，cookie技術的應用具有極為重要的現實意義。

在看到cookie技術的便利性的同時，也應當清醒地認識到該技術的不足之處。在過去的幾年內，經常發生黑客攻擊應用cookie技術的網站而造成用戶信息與機密網絡數據泄漏的案件，造成了極大的損失。統計數據顯示，web蠕蟲以及XSS/CSRF是威脅cookie技術應用的主要病毒形式。

web蠕蟲病毒的破壞力與傳播性極強，其利用應用程序的安全漏洞進行傳播。Web蠕蟲的主要危害包括執行惡意腳本、劫持回話以及盜取用戶的cookie信息。就目前狀況而言，由于技術上的限制，技術人員依舊無法有效解決web蠕蟲病毒感染問題，而隨著信息技術的迅猛發展，相信在不久的將來，人們能夠尋找到抵御web蠕蟲病毒風險的有效方法。

CSRF能夠偽裝成網站受信任用戶的請求，在網站接收到偽裝請求后，CRSF便能利用該網站。一般認為，CSRF病毒出現頻率不高，所以業界并沒有針對該病毒的有效防范措施，所以某種意義上，CRSF病毒的危險性極高。通常情況下，能夠通過增加人機交互環節的形式來降低程序受病毒攻擊的風險，可以增加雙因素口令卡以及圖片驗證碼以避免客戶端腳本訪問用戶的cookie。

2.3 JavaScript

JavaScript是一種較為安全的腳本語言，其是基于對象和事件驅動技術研發的。基于JavaScript技術開發的網頁具有生動簡潔的優勢，同時又由于語言比較簡便易學，因此JavaScript受到了廣大專業程序員以及編程愛好者的歡迎。就目前而言，函數句柄劫持以及DOM劫持是JavaScript網頁的主要威脅。

函數句柄劫持是黑客常見的攻擊應用JavaScript語言的程序的手段，其通過重新賦值或者定義的方式來實現攻擊程序或者網站的目的。某些情況下，被劫持函數的原有句柄副本并不會被黑客保留，這種狀況下的函數反劫持工作具有極高的難度。

DOM劫持也是較為常見的劫持方式，需要特別指出的是，在document對象被惡意代碼劫持后，函數句柄反劫持手段將不會發揮任何作用。目前，國內信息安全人才儲備不足，“白帽黑客”的概念未能深深扎根于互聯網行業之中，因此應當采取有效措施提高在崗信息安全人員的綜合素質，并大力引進高素質、復合型人才，與此同時，需要不斷更新程序架構，完善各種腳本語言。

3 結語

互聯網技術與信息技術深刻地影響了人類的文明進程，賦予了人類無窮的樂趣，鑒于目前Java web 應用程序依然存在著較多安全缺陷的情況，信息安全人員應當積極學習先進的科學技術知識、不斷提升自身綜合素質，勇于開拓創新，如此方能最大程度地促進信息行業的長足進步。

參考文獻：

[1]馮揚.云安全技術研究[J].電力信息與通信技術，2014（01）.

[2]譚琳.網絡考試系統中安全技術研究[J].現代商貿工業，2013（02）.