web安全性论文DOC_web应用安全论文

web安全性论文DOC由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“web应用安全论文”。

关于WEB服务及其安全性的讨论

学院名称 __________________ 专业名称 __________________ 学生姓名 学 号 __ 指导教师

**年**月**日

目 录

第一章

WEB的基本简介……………………………………1 1.1 WEB的起源…………………………………………..1 1.2 WEB的特点……………………………………………2 1.3 WEB的工作原理……………………………………3 第二章

关于WEB服务器…………………………………..4 2.1 WEB服务器的种类……………………………….4 2.1.1 WEB简介………………………………………..4 2.1.2www.daodoc.commerce产品，帮助企业进入无线网络。该软件可以通过无线连接的方式访问企业的内部系统，远程地实现订单发送，并进行确认。Mobilize Commerce可以充分利用XML对信息进行格式转换，以适合于无线设备，这些无线设备包括笔记本电脑、个人数字助理、无线电话、网络电话和双向寻呼等。

从无声到有声

世界上有十亿个电话终端，有超过2亿的移动电话。而就人自身的交流习惯来看，人们也更愿意利用听和说的口头的方式进行交流。

文本语音转换器（TTS，Text to Speech）的研究工作已经取得了很大的进步，实现了自动的语言分析理解，并允许TTS的使用者增加更多的韵律、音调在讲话中，使TTS系统的发声更接近人声。在自动语音识别系统（ASR）领域里，自动语音识别系统在从整个词的模仿匹配，向音素层次的识别系统方向发展。自动语音识别系统的词汇表由一个基于声音片断的字母表构成，而且这种词汇表是受不同语言限制的。基于这种方式，在一个宽广的声音行列里，讲话能被识别系统发现和挑拣出来，并加以识别。并且，在识别一个词的时候，每一个音素将从系统的输入中挑拣出来，拼接组合后与已经有的音素和词语模板进行比较，来产生需要的模板。音素的识别大大减轻了ASR对讲话者的依赖性，并且使得它非常容易去建立大型的和容易修改的语音识别字典，从而满足不同应用市场的需求。

Web语音发展的另一方面是VoiceXML（Voice Extensible Markup Language-语音可扩展标记语言）的进展。VoiceXML的主要目标是要将Web上已有的大量应用、丰富的内容，让交互式语音界面也能够全部享受。Web服务器处理一个来自客户端应用的请求，这一请求经过了VoiceXML解释程序和VoiceXML解释程序语境处理，作为响应，服务器产生出VoiceXML文件，在回复当中，要经过VoiceXML解释程序的处理。VoiceXML 1.0规范基于XML，为语音和电话应用的开发者、服务提供商和设备制造商提供了一个智能化的API。VoiceXML的标准化将简化Web上具有语音响应服务的个性化界面的创建，使人们能够通过语音和电话访问网站上的信息和服务，像今天通过CGI脚本一样检索中心数据库，访问企业内部网，制造新的语音访问设备。VoiceXML的执行平台上面加载了相应的软件和硬件，例如，ASR、TTS，从而实现语音的识别以及文本和语音之间的转化。2000年5月23日，W3C接受了语音可扩展标记语言VoiceXML 1.0作为实例。

IBM、Nokia、Lucent、Motorola等著名厂商都已经开发出相应支持VoiceXML的产品，ASR和TTS系统大多还不能支持中文。第三章 应用中WEB的安全问题

3.1 WEB安全的定义

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。

3.2 常见安全问题

“开放 Web 应用程序安全项目”（OWASP）通过调查，列出了对 Web 应用的危害较大的安全问题，主要包括：未验证参数，访问控制缺陷，账户及会话管理缺陷，跨站脚本漏洞，缓冲区溢出，命令注入漏洞，错误处理问题，远程管理漏洞，Web 服务器及应用服务器配置不当。未验证参数

Web 请求中包含的信息没有经过有效性验证就提交给 Web应用程序使用，攻击者可以以恶意构造请求中包含某个字段，如URL，请求字符串，Cookie 头部、表单项，隐含参数传递代码攻击运行 Web 程序的组件。访问控制缺陷

用户身份认证策略没有被执行，导致非法用户可以操作信息。攻击者可以利用这类漏洞得到其他用户帐号、浏览敏感文件、删除更改内容、执行未授权访问，甚至取得网站管理员的权限。账户及会话管理缺陷

账户和会话标记未被有效保护，攻击者可以得到口令密码、会话 Cookie 和其他标记，并突破用户权限限制活利用假身份得到其他用户信任。跨站脚本漏洞

在远程 Web 页面的HTML 代码中插入具有恶意目的的代码片段，用户认为该页面是可依赖的，但是当浏览器下载该页面时，嵌入其中的脚本将被解释执行。缓冲区溢出

Web 应用组件没有正确检验输入数据的有效性，导致数据溢出，攻击者可以利用这一点执行一段精心构造的代码，从而获得程序的控制权。可能被利用的组件包括CGI、库文件、驱动文件和 Web 服务器。命令注入漏洞

Web 应用程序在与外部系统或本地操作系统交互时，需要传递参数。如果攻击者在传递参数中嵌入了恶意代码，外部系统可能会执行这些指令。比如SQL注入攻击，就是攻击者将SQL命令插入到 Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。错误处理问题

在正常操作没有被有效处理的情况下，会产生错误提示或内存不足、系统调用失败、网络超时、服务器不可用等。如果攻击者认为构造 Web 应用不能处理的情况，就可能从反馈信息中获得系统的相关信息。例如，当发出请求包试图判断一个文件是否在远程主机上存在的时候，如果返回信息为“文件未找到”，则无此文件，如果返回信息为“访问被拒绝”，则为文件存在但无访问权限。远程管理漏洞

许多 Web 应用允许管理者通过 Web 接口来对站点实施远程管理。如果这些管理机制没有对访问者实施合理的身份认证，攻击者就可能通过接口拥有站点的全部权限。

Web 服务器及应用服务器配置不当

对 Web 应用来说，健壮的服务器是至关重要的。服务器的配置比较复杂，比如 Apache 服务器的配置文件完全由命令和注释组成，一个命令包括若干参数。如果配置不当对安全性影响很大。

3.3 WEB安全对策

3.3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.3.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。

3.3.3 信息加密策略

信息加密的目的是保护Web服务的数据、文件、密码和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

3.3.4 安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

结论

本文从WEB基本定义、服务器以及安全问题三个方面对WEB应用系统进行了阐述，讲解了WEB的特点，从细节上让大家更加清楚地了解WEB及WEB服务器，并着重讲解了安全问题，提出了解决方案。

毫无疑问，WEB安全问题是每一个WEB服务器的开发者与使用者最关注的。同时，近年来，随着因特网的发展和java的崛起，互联网快速发展，WEB迅速崛起并逐步普及，安全问题亦是越来越受.故而，本文讲解WEB的同时向读者提供了几种安全策略，力求为读者提供方便.参考文献

1，张念鲁，刘红屏.WEB程序设计教程[M].高等教育出版社，2004,27（2）.浅谈传统企业进入移动互联网的几种方式.站长之家[引用日期2014/7/3].2，[1]同济大学.计算机网络与实训.[EB/OL]http：//www.daodoc.com/.3，服务器.服务器制作教程[引用日期2014/8/5].4，更好维护服务器安全的几大安全措施.万户网络[2014/8/7].5，全媒体时代是大技术，大数据时代.亿恩资讯网[引用日期2014/8/5].6，孔凡飞.基于WS Security的电子商务 Web服务安全的概要设计[D]杭州：浙江大学.7，高鹏.Web安全手册[M].北京：清华大学出版社，1998:29-33.