面向AJAX架構(gòu)Web服務(wù)的攻擊和防御.pdf

1、隨著互聯(lián)網(wǎng)的日趨成熟，WEB應(yīng)用程序由于提供了豐富的用戶界面和其良好的可維護(hù)性而變得越來越流行。但是，傳統(tǒng)的WEB應(yīng)用程序面臨著許多問題，例如較低的性能和較高的網(wǎng)絡(luò)流量。因此一種新的WEB設(shè)計方式Ajax悄然興起。由于Ajax僅僅向服務(wù)器傳送和接收自己所需要的數(shù)據(jù)，所以它可以減少網(wǎng)絡(luò)流量，并可以使WEB應(yīng)用程序具有更高的響應(yīng)性，更好的可交互性和更方便的個性化服務(wù)，使用戶象使用應(yīng)用程序一樣使用WEB應(yīng)用程序。AJAX不但大有取代傳統(tǒng)的We

2、b服務(wù)架構(gòu)的趨勢，而且被冠以 Web2.0的高度，被業(yè)界公認(rèn)為下代 Web服務(wù)的技術(shù)標(biāo)準(zhǔn)。
　　本文首先對基于AJAX框架的Web服務(wù)整體架構(gòu)進(jìn)行了研究。通過對AJAX框架技術(shù)基礎(chǔ)，組件構(gòu)成和工作流程等的研究，充分的展現(xiàn)了AJAX框架互動性和實(shí)時性的優(yōu)勢所在，同時也指明了其相對于傳統(tǒng)Web服務(wù)的若干缺點(diǎn)。
　　然后，本文研究了基于AJAX框架體系所面臨的安全薄弱點(diǎn)，通過分析各種注入缺陷問題，瀏覽器問題，跨域發(fā)送問題，AJAX

3、橋問題和JavaScript問題等諸多安全問題，給出了現(xiàn)階段AJAX框架可能遭受的各種攻擊類型和具體攻擊方法。
　　隨后，文章對兩個針對AJAX框架進(jìn)行攻擊的蠕蟲作了詳盡的解析，分析其機(jī)理和技術(shù)。針對其不成熟之處，提出了下一代AJAX蠕蟲將能做出的技術(shù)改進(jìn)和具有的結(jié)構(gòu)特征。
　　最后文章在已有安全檢測和評估體系的基礎(chǔ)上，給出了一系列監(jiān)測針對AJAX框架攻擊和評估 AJAX框架漏洞的算法和解決方案，并總結(jié)性的提出了開發(fā) AJA