Java Web應用程序安全技術

文/趙恒

以Web為基礎的應用系統在互聯網領域中的發展速度不斷加快，是一種新型的計算機應用系統。無論是企業亦或是機構內的計算機應用系統，都以Web技術為主。由此可見，深入研究并分析Java Web應用程序安全技術具有一定的現實意義。

1 Java Web應用程序安全問題闡釋

Web應用程度主要是以Web為基礎所開發的應用程序，而基本組件就是服務器與客戶端，能夠對客戶端基本請求加以讀取，進而向客戶端發送必要的數據。對于服務器端和客戶端通信協議來講，重要基礎就是HTTP，結合具體的安全級別，對加密SSL/TLS協議等進行合理地運用，確保通信更加完整。但因為因特網存在安全漏洞，所以Web應用程序的安全問題也逐漸突顯出來，集中表現在以下三個方面：

1.1 客戶端

具體指的就是客戶端開發技術安全漏洞被惡意代碼所利用，或者是受到客戶端瀏覽器的缺陷影響，對惡意代碼進行執行。

1.2 服務器端

具體指的就是Web應用程序服務器端代碼隱蔽問題被利用，也可能是運行支撐環境存在問題。

1.3 通信過程

對通信過程造成安全威脅的具體表現就是竊聽信息內容或者是篡改通信數據，使得Web應用程序通信數據完整性受到了嚴重影響。

2 Java Web應用程序的關鍵安全技術

2.1 Ajax

Ajax屬于網頁開發技術，其主要的功能就是對交互式網頁應用加以創建。而從本質上來講，Ajax也是JavaScript的對象。通過對Ajax的合理化應用，可以有效讀取后臺異步數據信息，并且能夠動態化地顯示頁面并實現交互目標。無需對瀏覽器窗口進行刷新處理，就能夠與用戶操作需求相適應，也使得客戶端用戶體驗不斷增強。

雖然Ajax所具備的即時數據反饋優勢能夠強化用戶交互的效果，然而同樣也存在一定的危險。即便未增加既有Web程序安全漏洞，但因為Ajax技術相對先進，所以在實踐方面并不具備成熟的經驗。在這種情況下，較之于傳統的Web程序，Ajax程度漏洞會更多。要想確保數據的安全性，并規避泄漏問題的發生，就應當在改變頁面狀態的情況下，向用戶詳細地告知。與此同時，要通過客戶端與服務器端校驗用戶輸入的內容。對于客戶端而言，則需要在對服務器返回數據進行處理的基礎上完成校驗工作。若服務器要求進行用戶認證，則要針對全部服務端的腳本實施必要的認證檢查工作。

2.2 JavaScript

JavaScript是腳本語言，將對象與事件驅動技術作為重要基礎，安全性較強。但是，在對JavaScript實際應用的過程中，網頁相對生動活潑，而且設計網頁的過程中JavaScript學習難度不大且操作便捷，只要采取特殊性的方式，就能夠使網頁可觀性不斷增強。受上述優勢的影響，使得JavaScript在大部分瀏覽器中得到了廣泛應用。現階段，最常見的劫持方法不低于兩種，即DOM劫持與函數句柄劫持。

其中，DOM劫持指的就是對DOM節點進行劫持。若惡意代碼對DOM對象進行劫持，那么必然會重新定義createElement方法，最終導致函數句柄的反劫持方法喪失應用的功效。

對于函數句柄劫持來講，則是利用特定標準JavaScript函數亦或是對瀏覽器對象內部方法加以利用完成重新定義亦或是賦值的任務。然而，在具體環境當中，惡意代碼很容易不對被劫持函數原有的句柄副本進行保留，直接增加了函數反劫持的難度。

在這種情況下，JavaScript函數的反劫持技術就是所需攻克的難點，有效防范反劫持技術，需借助Web應用程序服務器端驗證代碼邏輯，有效地規避用戶上交內容中的客戶端腳本劫持代碼。

2.3 Cookie

所謂Cookie，則是部分網絡為對用戶身份加以辨別或者是跟蹤session而在用戶本地終端所存儲的數據。主要的功能就是服務器能夠對Cookie涵蓋信息任意性進行篩選，并對信息內容展開定期維護，以保證對HTTP傳輸狀態做出判斷。現階段，很多瀏覽器都會將Cookie技術兼容其中，為網站保存訪問者相關信息提供必要的幫助。然而，對Cookie技術進行使用的過程中，也會為網絡黑客提供契機，導致數據的泄漏問題經常發生，而最常見的技術是CSRF與Web蠕蟲。

CSRF就是惡意利用網站，這和XSS相比存在一定的差異。特別是攻擊方式方面，XSS主要會對站點內部信任用戶加以利用，但是CSRF則會在偽裝的基礎上對受信任的網站加以利用。較之于XSS攻擊，CSRF攻擊的防范難度較大，因此其危險性也不言而喻。在這種情況下，要求將人機交互環節加入其中，特別是雙因素口令卡與圖片驗證碼等，以免客戶端腳本會訪問Cookie用戶，如果有必要，還應當將水印添加在敏感操作當中。

對于蠕蟲來講，則會嚴重威脅網站與社區類型的站點，通過對Web應用程序缺陷的應用，結合Web應用程度特征加以傳播。一般情況下，被攻擊的目標主要包括惡意腳本執行、網頁篡改以及用戶Cookie竊取等等。

3 結束語

綜上所述，伴隨互聯網技術和信息技術的全面可持續發展，Java Web應用程序在實際應用方面仍存在諸多不足之處，所以作為信息安全工作人員，必須要對現代化科技知識加以學習，進一步優化自身的綜合素質水平，才能夠實現現代信息行業的進步與改進。