彭昊辰　鄭金磊

摘 要：現(xiàn)階段，Java Web技術(shù)較為成熟，其是現(xiàn)代社會中應(yīng)用非常普遍的技術(shù)。就目前狀況而言，Java Web技術(shù)依然存在著一些較為明顯的缺陷，在一定程度上降低了信息傳送過程的安全性。結(jié)合工作經(jīng)驗與相關(guān)理論知識，在本文中探討了Java 應(yīng)用程序安全技術(shù)，供有關(guān)人員參考借鑒。

關(guān)鍵詞：應(yīng)用程序；安全技術(shù)；研究

近年來，基于Web的應(yīng)用系統(tǒng)儼然已經(jīng)成為發(fā)展速度最快的計算機應(yīng)用系統(tǒng)之一，在民用與軍用領(lǐng)域都發(fā)揮著不可替代的作用。然而應(yīng)當(dāng)看到的，一些不良因素會降低Web技術(shù)的安全性，最終影響技術(shù)的應(yīng)用。為此，有關(guān)方面必須要采取有效措施以提升Web技術(shù)的安全系數(shù)。

1 Web應(yīng)用程序所面臨的威脅

Web應(yīng)用程序是基于HTTP基礎(chǔ)開發(fā)的，該程序由客戶端以及服務(wù)器兩大基本結(jié)構(gòu)構(gòu)成，主要功能是處理客戶端請求并發(fā)送相關(guān)的數(shù)據(jù)。現(xiàn)階段各種應(yīng)用程序面臨著較高的風(fēng)險，Web程序自然也不例外。通過分析，可以發(fā)現(xiàn)Web程序面臨的安全威脅主要包括通信過程的安全威脅、客戶端安全威脅以及服務(wù)端安全威脅[1]。

黑客攻擊Web應(yīng)用程序，通過破壞通信過程促使通信數(shù)據(jù)的完整性以及機密性受到嚴(yán)重的損害。黑客破壞Web應(yīng)用程序、盜取信息的途徑還有攻擊Web應(yīng)用程序的客戶端，主要方式是借助惡意代碼利用客戶端的安全漏洞。某些情況下，客戶端存在著缺陷為惡意代碼的運行提供便利的條件，惡意代碼直接在程序中執(zhí)行，所造成的危害也將會更加巨大。除此之外，黑客還有可能利用Web服務(wù)端代碼的隱藏缺陷來攻擊程序，與此同時，基于部分服務(wù)端存在著運行支撐環(huán)境缺陷，黑客還會通過利用支撐環(huán)境缺陷的形式來實現(xiàn)竊取有用信息的目的。

2 Web安全研究

2.1 Ajax

作為一種創(chuàng)建交互式的網(wǎng)頁開發(fā)技術(shù)，Ajax面世后受到了信息界的廣泛關(guān)注。Ajax技術(shù)在程序中應(yīng)用能夠?qū)崿F(xiàn)后臺異步數(shù)據(jù)讀取的功能，如此能有效地提升用戶操作的簡便性?；ヂ?lián)網(wǎng)技術(shù)的研發(fā)初衷是提升用戶的操作體驗，實現(xiàn)程序與用戶之間的良好交互，所以Ajax技術(shù)的應(yīng)用前景十分廣闊。

然而也應(yīng)當(dāng)看到Ajax技術(shù)的缺陷，該技術(shù)的應(yīng)用時間相對較短，也就是說Ajax屬于新技術(shù)范疇，而任何一種信息技術(shù)都需要經(jīng)過大量的實踐檢驗方能日益完善，所以理論上Ajax依然可能存在著許多隱藏的缺陷，因此Ajax所面臨的安全風(fēng)險相對較高。為了最大程度地提升Ajax技術(shù)的應(yīng)用安全，應(yīng)當(dāng)在在其中嵌入相應(yīng)的保護性程序。通常情況下，如果頁面發(fā)生改變，則需要及時通知用戶，與此同時，為了保護用戶信息的安全，需要在服務(wù)器與客戶端檢查用戶的輸入信息是否準(zhǔn)確可靠。某些情況下，服務(wù)器可能需要開展用戶認(rèn)證工作，而認(rèn)證工作應(yīng)當(dāng)在所用服務(wù)器腳本上展開，如此能夠最大程度地保障認(rèn)證工作的質(zhì)量、降低信息被盜取的概率。此外，應(yīng)用程序客戶端應(yīng)當(dāng)對各類返回數(shù)據(jù)進行檢驗[2]。

2.2 cookie

對于程序員而言，cookie并不陌生，這是一種為了增強用戶身份識別工作簡便性與準(zhǔn)確性的數(shù)據(jù)。Cookie能夠幫助應(yīng)用程序服務(wù)器實現(xiàn)快速識別用戶信息的目的，換句話講，應(yīng)用cookie技術(shù)后，用戶認(rèn)證信息會被即時儲存，下一次服務(wù)器便能夠快速地識別提取用戶信息，從而省去大量的信息認(rèn)證程序，在人人追求高效率的今天，cookie技術(shù)的應(yīng)用具有極為重要的現(xiàn)實意義。

在看到cookie技術(shù)的便利性的同時，也應(yīng)當(dāng)清醒地認(rèn)識到該技術(shù)的不足之處。在過去的幾年內(nèi)，經(jīng)常發(fā)生黑客攻擊應(yīng)用cookie技術(shù)的網(wǎng)站而造成用戶信息與機密網(wǎng)絡(luò)數(shù)據(jù)泄漏的案件，造成了極大的損失。統(tǒng)計數(shù)據(jù)顯示，web蠕蟲以及XSS/CSRF是威脅cookie技術(shù)應(yīng)用的主要病毒形式。

web蠕蟲病毒的破壞力與傳播性極強，其利用應(yīng)用程序的安全漏洞進行傳播。Web蠕蟲的主要危害包括執(zhí)行惡意腳本、劫持回話以及盜取用戶的cookie信息。就目前狀況而言，由于技術(shù)上的限制，技術(shù)人員依舊無法有效解決web蠕蟲病毒感染問題，而隨著信息技術(shù)的迅猛發(fā)展，相信在不久的將來，人們能夠?qū)ふ业降钟鵺eb蠕蟲病毒風(fēng)險的有效方法。

CSRF能夠偽裝成網(wǎng)站受信任用戶的請求，在網(wǎng)站接收到偽裝請求后，CRSF便能利用該網(wǎng)站。一般認(rèn)為，CSRF病毒出現(xiàn)頻率不高，所以業(yè)界并沒有針對該病毒的有效防范措施，所以某種意義上，CRSF病毒的危險性極高。通常情況下，能夠通過增加人機交互環(huán)節(jié)的形式來降低程序受病毒攻擊的風(fēng)險，可以增加雙因素口令卡以及圖片驗證碼以避免客戶端腳本訪問用戶的cookie。

2.3 JavaScript

JavaScript是一種較為安全的腳本語言，其是基于對象和事件驅(qū)動技術(shù)研發(fā)的?；贘avaScript技術(shù)開發(fā)的網(wǎng)頁具有生動簡潔的優(yōu)勢，同時又由于語言比較簡便易學(xué)，因此JavaScript受到了廣大專業(yè)程序員以及編程愛好者的歡迎。就目前而言，函數(shù)句柄劫持以及DOM劫持是JavaScript網(wǎng)頁的主要威脅。

函數(shù)句柄劫持是黑客常見的攻擊應(yīng)用JavaScript語言的程序的手段，其通過重新賦值或者定義的方式來實現(xiàn)攻擊程序或者網(wǎng)站的目的。某些情況下，被劫持函數(shù)的原有句柄副本并不會被黑客保留，這種狀況下的函數(shù)反劫持工作具有極高的難度。

DOM劫持也是較為常見的劫持方式，需要特別指出的是，在document對象被惡意代碼劫持后，函數(shù)句柄反劫持手段將不會發(fā)揮任何作用。目前，國內(nèi)信息安全人才儲備不足，“白帽黑客”的概念未能深深扎根于互聯(lián)網(wǎng)行業(yè)之中，因此應(yīng)當(dāng)采取有效措施提高在崗信息安全人員的綜合素質(zhì)，并大力引進高素質(zhì)、復(fù)合型人才，與此同時，需要不斷更新程序架構(gòu)，完善各種腳本語言。

3 結(jié)語

互聯(lián)網(wǎng)技術(shù)與信息技術(shù)深刻地影響了人類的文明進程，賦予了人類無窮的樂趣，鑒于目前Java web 應(yīng)用程序依然存在著較多安全缺陷的情況，信息安全人員應(yīng)當(dāng)積極學(xué)習(xí)先進的科學(xué)技術(shù)知識、不斷提升自身綜合素質(zhì)，勇于開拓創(chuàng)新，如此方能最大程度地促進信息行業(yè)的長足進步。

參考文獻：

[1]馮揚.云安全技術(shù)研究[J].電力信息與通信技術(shù)，2014（01）.

[2]譚琳.網(wǎng)絡(luò)考試系統(tǒng)中安全技術(shù)研究[J].現(xiàn)代商貿(mào)工業(yè)，2013（02）.