面向AJAX架构Web服务的攻击和防御

面向AJAX架构Web服务的攻击和防御

论文摘要

随着互联网的日趋成熟,WEB应用程序由于提供了丰富的用户界面和其良好的可维护性而变得越来越流行。但是,传统的WEB应用程序面临着许多问题,例如较低的性能和较高的网络流量。因此一种新的WEB设计方式Ajax悄然兴起。由于Ajax仅仅向服务器传送和接收自己所需要的数据,所以它可以减少网络流量,并可以使WEB应用程序具有更高的响应性,更好的可交互性和更方便的个性化服务,使用户象使用应用程序一样使用WEB应用程序。AJAX不但大有取代传统的Web服务架构的趋势,而且被冠以Web 2.0的高度,被业界公认为下代Web服务的技术标准。本文首先对基于AJAX框架的Web服务整体架构进行了研究。通过对AJAX框架技术基础,组件构成和工作流程等的研究,充分的展现了AJAX框架互动性和实时性的优势所在,同时也指明了其相对于传统Web服务的若干缺点。然后,本文研究了基于AJAX框架体系所面临的安全薄弱点,通过分析各种注入缺陷问题,浏览器问题,跨域发送问题,AJAX桥问题和JavaScript问题等诸多安全问题,给出了现阶段AJAX框架可能遭受的各种攻击类型和具体攻击方法。随后,文章对两个针对AJAX框架进行攻击的蠕虫作了详尽的解析,分析其机理和技术。针对其不成熟之处,提出了下一代AJAX蠕虫将能做出的技术改进和具有的结构特征。最后文章在已有安全检测和评估体系的基础上,给出了一系列监测针对AJAX框架攻击和评估AJAX框架漏洞的算法和解决方案,并总结性的提出了开发AJAX框架时,需要尤其重视的安全策略,为AJAX框架在未来的进一步发展保驾护航。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 课题背景
  • 1.2 常见的网络安全问题
  • 1.3 本文的主要工作
  • 1.4 本文组织结构
  • 第二章 AJAX 技术特点
  • 2.1 AJAX 技术概述
  • 2.2 AJAX 与传统WEB 开发模式的比较
  • 2.2.1 传统的WEB 开发模式
  • 2.2.2 基于Ajax 的开发模式
  • 2.2.3 两种模式的工作流程
  • 2.2.4 AJAX 相对传统Web 服务的优缺点
  • 2.3 AJAX 中的关键技术
  • 2.4 本章小结
  • 第三章 AJAX 架构的安全问题
  • 3.1 AJAX 架构的安全薄弱点
  • 3.1.1 AJAX 架构大大增加了系统的被攻击面
  • 3.1.2 AJAX 架构大大增加了信息泄露的可能性
  • 3.2 源于浏览器脚本及其规范问题的安全隐患
  • 3.3 SQL 注入问题
  • 3.3.1 SQL 注入的简单原理
  • 3.3.2 SQL 注入问题在AJAX 框架中的体现
  • 3.4 严重的XML 注入问题
  • 3.4.1 XML 注入的简单原理
  • 3.4.2 XML 注入问题在AJAX 框架中的体现
  • 3.5 XSS 跨站攻击问题
  • 3.5.1 XSS 攻击的原理
  • 3.5.2 XSS 攻击的实施
  • 3.5.3 XSS 在AJAX 框架中的体现
  • 3.6 跨域发送请求问题
  • 3.6.1 利用Flash 实现跨域请求
  • 或者标签实现跨域请求'>3.6.2 动态生成