论文摘要
随着互联网的日趋成熟,WEB应用程序由于提供了丰富的用户界面和其良好的可维护性而变得越来越流行。但是,传统的WEB应用程序面临着许多问题,例如较低的性能和较高的网络流量。因此一种新的WEB设计方式Ajax悄然兴起。由于Ajax仅仅向服务器传送和接收自己所需要的数据,所以它可以减少网络流量,并可以使WEB应用程序具有更高的响应性,更好的可交互性和更方便的个性化服务,使用户象使用应用程序一样使用WEB应用程序。AJAX不但大有取代传统的Web服务架构的趋势,而且被冠以Web 2.0的高度,被业界公认为下代Web服务的技术标准。本文首先对基于AJAX框架的Web服务整体架构进行了研究。通过对AJAX框架技术基础,组件构成和工作流程等的研究,充分的展现了AJAX框架互动性和实时性的优势所在,同时也指明了其相对于传统Web服务的若干缺点。然后,本文研究了基于AJAX框架体系所面临的安全薄弱点,通过分析各种注入缺陷问题,浏览器问题,跨域发送问题,AJAX桥问题和JavaScript问题等诸多安全问题,给出了现阶段AJAX框架可能遭受的各种攻击类型和具体攻击方法。随后,文章对两个针对AJAX框架进行攻击的蠕虫作了详尽的解析,分析其机理和技术。针对其不成熟之处,提出了下一代AJAX蠕虫将能做出的技术改进和具有的结构特征。最后文章在已有安全检测和评估体系的基础上,给出了一系列监测针对AJAX框架攻击和评估AJAX框架漏洞的算法和解决方案,并总结性的提出了开发AJAX框架时,需要尤其重视的安全策略,为AJAX框架在未来的进一步发展保驾护航。