面向AJAX框架Web服務(wù)的攻擊和安全防御.pdf

1、隨著網(wǎng)絡(luò)通信與計(jì)算機(jī)技術(shù)的飛速發(fā)展，Web 服務(wù)的種類也逐漸多樣化。傳統(tǒng)的Web 技術(shù)由于互動(dòng)性和實(shí)時(shí)性的缺陷，已經(jīng)無法滿足現(xiàn)實(shí)的需要。然而，由于XML HTTP Request 技術(shù)在Google，Microsoft等行業(yè)巨頭的推動(dòng)下發(fā)展成熟，以突出互動(dòng)性，實(shí)時(shí)性用戶體驗(yàn)的AJAX 框架在2005 年開始在Internet 上嶄露頭角，并在2005 到2006年間廣泛流行，不但大有取代傳統(tǒng)的Web 服務(wù)架構(gòu)的趨勢，而且被冠以Web 2

2、.0 的高度，被業(yè)界公認(rèn)為下代Web 服務(wù)的技術(shù)標(biāo)準(zhǔn)。 本文首先對(duì)基于AJAX 框架的Web 服務(wù)整體架構(gòu)進(jìn)行了研究。通過對(duì)AJAX 框架技術(shù)基礎(chǔ)，組件構(gòu)成和工作流程等的研究，充分的展現(xiàn)了AJAX 框架互動(dòng)性和實(shí)時(shí)性的優(yōu)勢所在，同時(shí)也指明了其相對(duì)于傳統(tǒng)Web 服務(wù)的若干缺點(diǎn)。 然后，本文研究了基于AJAX 框架體系所面臨的安全薄弱點(diǎn)，通過分析各種注入缺陷問題，瀏覽器問題，跨域發(fā)送問題，AJAX 橋問題和JavaScrip

3、t 問題等諸多安全問題，給出了現(xiàn)階段AJAX 框架可能遭受的各種攻擊類型和具體攻擊方法。 隨后，文章對(duì)兩個(gè)針對(duì)AJAX 框架進(jìn)行攻擊的蠕蟲作了詳盡的解析，分析其機(jī)理和技術(shù)。針對(duì)其不成熟之處，提出了下一代AJAX 蠕蟲將能做出的技術(shù)改進(jìn)和具有的結(jié)構(gòu)特征，并驗(yàn)證了實(shí)施各種改進(jìn)技術(shù)的可行性。 最后文章在已有安全檢測和評(píng)估體系的基礎(chǔ)上，給出了一系列監(jiān)測針對(duì)AJAX 框架攻擊和評(píng)估AJAX 框架漏洞的算法和解決方案，并總結(jié)性的提出