JSP技术在WEB 安全开发中的应用 高 妍 (辽宁建筑职业学院, 辽宁辽阳111O00) [摘要]JSP技术是一种新的服务器端动态网页设计技术,其作为构筑动态WEB平台的首选语言,具有功能强 大,安全可靠等诸多优点,在电子商务、数据查询等各种互联网应用中较为广泛。本文分析了JSP的主要特点及其工 作机制,并从数据传输、访问控制、Web服务器、JSP脚本编程等角度就JsP技术在WEB安全开发中的应用进行了探 究。 [关键词]JSP;Web网站;Web服务器;安全 互联网技术的发展为网络信息的共享、交流和服务提供了 方法保护数据安全。根据JSP引擎分析可知其与采取何种传输 良好平台,而网络技术的普遍应用推动了信息服务的质量。并 方法无关,因两种处理方式并不相同。一般JSP应用SSL\SSH 且随着时代的发展进步,静态HTML技术已不能满足人们的 协议建立客户端和服务器的加密通道,从而防止数据被截获, 需求,动态、交互的网络技术也随之出现。JSP技术作为一种 并且我们还要经常更新服务程序包,打补丁以避免SQL Server 新的服务器端动态网页设计技术,自出现以来在电子商务、网 数据库遭到损害。然而安全补丁发布速度无法满足移动迅速的 上数据查询等各种互联网应用中被广泛推广应用。其具有的动 安全性问题的处理,因此建议使用微软公司的免费安全通知服 态内容生成环境美化了WEB,为WEB开发提供了便利,更为 务或WSUS服务。应用监控连接当中的连接能够知晓试图访 用户提供了方便。然而,随着网络编程的方便和系统功能的强 问SQL Server者是谁,因此监视和控制连接能够有效地保护数 大,各种系统漏洞及其弱点也显现出来,全部电脑驱动系统都 据库安全。针对大型活动SQL Server数据库而言,其需要监控 极易被侵犯及破坏,给计算机系统安全带来严重危害。 的数据连接可能较多,然而监控失败的连接仍然非常有价值, 1、JSP的主要特点及其工作机制 因其能够对使用企图加以有效表现。此外,还应注意防范SQL 1.1 JSP的主要特点。JSP(Java Serverpages)是Sun公司 注入(SQLInjection),SQLInjection是网站安全的重点所在, 在Java语言基础上开发出的一种新的动态网页制作技术。其 攻击者能够通过其读取、修改以及删除数据库数据,甚至能够 允许将Java代码逻辑嵌入进HTML和XML文档里,从而方 获取操作系统的控制权,针对SQL Injection的攻击不能通过安 便创建及管理动态网页内容。其工作机制与ASP、PHP不同, 装系统补丁或配置防火墙拦截加以解决。但有学者提出可以通 JSP页面在执行时并非解释式而为编译式。初次调用JSP文件 过输入认证+数据库安全策略来有效抵御防范SQL注入问题。 实际上是执行Java Servlet的编译过程。如果浏览器向服务器 2.2访问控制的安全策略。JSP技术基础上的数据库应用 请求JSP文件时,服务器会直接使用相应的Servlet结果作答。 程序权限访问控制系统包括图书检索模块、编目模块、采访模 1.2 JSP的工作机制。JSP实现了Web浏览器、Web服务 块、流通模块、系统管理模块等几部分构成。其系统用户大体 器和数据库系统的有机结合,能够让Web应用开发、访问和 分为三类:一类是大众用户(设其权限为5),用户注册以后 发布更为便捷,其通过Java代码动态生成HTML文档的Web 只能访问检索模块,为最低权限用户;二类是各编目人员(设 页面模板,其运行叫作JSP容器的服务器端组件。JSP容器能 其权限为2)、采购人员(设其权限为3)、流通人员(设其权 够把JSP转换为等价Java Servlet。作为一种安全、健壮的平台 限为4),其分别具有访问编目模块、采访模块、流通模块的 技术,JSP实现了将Java各种功能向电子商务及企业Web 权限,互不越权访问,并且拥有访问检索模块的权限;三类是 计算的应用。因其本身为开放式体系结构,能够以自定义标签 系统管理员(设其权限为1),拥有系统的最高权限,即访问 库方式实现扩充。如今Struts,Cocoon等JSP技术下的Web 所有模块,负责各个模块的维护,管理用户权限与密码、用户 应用开发框架已有很多,可见其生命力之强大。JSP的工作机 的注册等。设置一个访问控制列表(表示用户对资源的访问权 制是:用户浏览器首先向Web服务器(如Tomcat)发出JSP 限)userdbf,其通常包含用户名usernanle、用户密码password、 文件请求,服务器在收到请求以后得知JSP文件应生成为 对应的权限jibie、单位字段company4个字段即。在登录页面 Servlet,开始在工作目录里寻找是否存在已生成编译Class文 设计表单输入用户名、密码、单位,登录检查页面中对上述输 件,如发现后会直接调用并生成输出;如果没有,JSP容器则 入字段内码转换后,验证用户是否合法并获得合法用户的权 会把JSP文件生成相应对等的Servlet源文件,再编译为Class 限,用session对象的putValue()方法存储,在以后的页面无 文件以后运行,从而产生HTML格式输出。 需用户再输入用户名及密码,只要按照该session对象中保存 2、JSP技术在WEB安全开发中的应用 的权限值,在每个需要进行权限检验的页面判断该用户是否拥 2.1数据传输的安全策略。通常而言,客户端与服务器端 有访问权利。 都以明文形式进行数据传输,因此做好包含用户名、密码等重 2.3Web服务器的安全策略。随着网络防范技术的发展, 要敏感信息的安全保护工作非常重要。传统的GET请求方式 木马、病毒等恶意代码已很难植入系统,因此,部分网络入侵 方便快捷,其将输入数据直接附加至请求URL之后,然而当 者开始针对系统自身漏洞编写相应攻击程序,常见的有针对缓 传输敏感数据时则容易泄漏敏感信息。当客户请求传输敏感数 冲区的溢出漏洞和DOS攻击等。其中缓冲区溢出原因通常是 据信息时,可以通过POST和建立加密机制(如SSL连接)的 应用程序不完善,缓冲区无法满足特定需求,而引起缓冲区溢 24作者简介:高妍(198 ),女,硕士,讲师,辽宁建筑职业学院,研究方向:计算机应用。 出,造成数据丢失或损坏,严重者可能造成程序或服务器崩溃 局限。Jess Garms及Daniel Somerifeld等则从Java脚本编程角 问题。例如Windows下的IIS4,IIS5某些版本进行超常文件 度出发,提出怎样编写安全Java代码的策略。例如序列 名处理时就存在这一问题。通常人们认为JAVA是一种类型安 化,使类不可克隆,避免硬编码敏感数据等。同时随着系统资 全的、具有垃圾收集能力和沙箱机制的语言,可以有效保证软 源的扩展和用户的增多,访问控制列表的长度会变长,此时权 件安全,因此具有JAVA全部好处的JSP页面也必然安全,许 限分配及管理工作带来难度,应采取基于角色的安全访问控制 多其他语言中存在的缓冲或堆栈溢出等低层次安全问题不会 (砒jAC)。如果对用户口令表和重要库文件进行加密,则会提 给JSP程序造成危害。但这并非代表写出的Servlet程序完全 升整个系统的安全性。 安全。由于缓冲区溢出的根源是c语言本身,而JAVA的解释 3、结语 器采用c语言编写,因此JAVA解释器仍然可能具有缓冲区溢 总之,应不断提高Web应用系统的安全性能,防止非法 出漏洞,仍然有被攻击的危险。但缓冲区溢出攻击较难实施, 用户的侵入和安全漏洞带来的不良影响。程序设计开发人员应 入侵者首先要掌握潜在的缓冲区溢出何时会出现和其在内存 全面掌握动态网页技术、系统环境和网络协议等安全问题,科 中的位置。缓冲区溢出预防也较难,管理员要随时关注软件安 学进行系统设置,设置安全网络传输协议,确保JSP脚本编程 全公告以及安装最新安全补丁程序,彻底消除缓冲区溢出条件 的安全,从而保证系统的安全、稳定、可靠运行。 方能避免被攻击。拒绝服务攻击主要指一个或多个用户占据了 参考文献 大量服务器资源,让系统再无剩余资源为其他用户提供服务。 …张建华,等,Web页面防篡改及防重放机制卟计算机应用, 通常Web服务器为有效发挥主机功能,会对同时连接到该主 2006,(2):327—328. 机上的人数进行,而当黑客占据入口并维系一段时间以 【2】耿祥义,张跃平.jsP实用教程 川.北京:清华大学出版社,2003. 后,其他用户的合法请求则只能被拒绝。该攻击还可能通过降 【3】盂宪虎,沈均毅.WEB数据库应用程序安全性设计的一种实现 低系统资源例如CPU时间、磁盘空间、网络带宽、甚至系统 Ⅱ].计算机工程与应用,2002(9):119. 管理员的时间进行攻击。对此可查看日志文件、监视连接登记 [4]李永林-网络数据库及应用.重庆:重庆大学出版社,2002. 状态,并把入侵者IP地址设置为黑名单以立即拒绝其继续访 【5】屈霞;基于JSP的数据库应用程序安全访问控制设计【I】.电脑开 问,或者通过控制同一源IP地址的连接数抵御DOS攻击。 发与应用.2005.6. 2.4 JSP脚本编程的安全策略。Michael Howard根据安全 f61赵锋;基于JSP技术的Web应用程序开发的安全策略【『】.电脑知 编程角度总结了各种编写安全代码的技巧,且不受特定语言的 识与技术(学术交流),2007.12. (上接第18页)管理,不同的级别具有不同的管理权限和访 哪些服务和任务交给云服务供应商,哪些由企业内部负责。部 问权限。通过灵活的用户访问控制,对虚拟机的配置和远程访 分用户喜欢在桌面或笔记本电脑上使用虚拟机来区分工作,但 问权限进行保护。 这些虚拟机很多都未达到补丁级别,极易被黑客攻击利用成为 流氓虚拟机。因此企业客户要制定制度,规定连接云计算应用 的PC机禁止安装虚拟机,并做好定期检查工作。 针对云服务终端用户来说,要确保个人计算机的安全。应 在用户终端安装恶意软件、防病毒、个人防火墙及IPS类型的 安全软件。如今互联网浏览器己成云服务应用的客户端,然而 所有浏览器均存在软件安全漏洞,因此使终端用户容易受到攻 击,影响云计算的安全。所以,云用户必须采取保护措施避免 图2用户分级示意图 浏览器遭受攻击,同时保持自动更新功能,定期为浏览器打补 通过虚拟防火墙和虚拟设备管理软件为虚拟机环境部署 丁和更新杀毒软件。 安全防护策略,通过防恶意软件建立补丁管理和版本管理机 4、结语 制,有效防范各种虚拟化存在的安全隐患问题。 随着云计算的广泛应用,其安全问题日益突出,要想有效 (3)保护基础网络安全。保护基础网络主要是保护不同 解决云计算下的信息安全,就必须从技术、标准、法律、业务 地理位置数据中心和用户终端的互联安全。可通过可信网络连 等方面综合进行考虑,需要云平台提供商,系统集成商,云服 接机制,检验连接到通信网络的设备可信情况,确保接入通信 务提供商,杀毒软件厂商等的共同努力,从而共同为云计算的 网络的设备的可信性,避免设备非法接入。基础网主要强调无 安全、稳定、可靠运行奠定基础。 收敛和精细化,其对安全设备也有相关要求,要求园区网的安 参考文献 全设备性能应符合网络配置性能要求,并且能够根据业务发展 …房秉毅,张云勇,徐雷,蓝天.云计算应用模式下移动互联网安 灵活扩减防火墙、入侵防御、流量监管、负载均衡等安全功能, 全分析o1.电信技术,2011.10. 有效解决设备端口少、处理性能差状态下的灵活扩展问题,实 [2]刘存后,唐卫东,宋浩.云计算环境下企业信息安全的探讨D1. 现安全与网络设备的有机融合。 中国管理信息化,2011.20. 3.2应用层面的防护策略。云计算环境是灵活、开放、公 f31陈清金,张云勇,潘松柏,杨光.云计算与新一代电信IT支撑 众可用的,这些特点也使其面临诸多安全问题。 系统研究Ⅱ1.电信科学,2010.11. 针对企业终端用户来说,要求企业做好风险评估,分析数 [4]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与 据存在云中以及内部数据中心可能存在的风险,并选择最优质 应用[M】.电子工业出版社,2010. 的云服务供应商。要求云服务供应商在云主机上部署的Web f5]GB/T 25070—2010.信息安全技术信息系统等级保护安全设计 应用程序要对互联网威胁给予充分考虑。企业终端用户要掌握 技术要求[s】. 25
