Web是一种高防服务器的网络服务,也称WWW服务。它是企事业单位发布信息的重要平台,是企事业单位信息化的核心。随着盘算机网络和Internet的发展,企业信息化、电子商务和电子政务都需要借助Web服务,Wweb服务已成为企业及各种组织机构发布信息的最佳渠道。然而,由于各种原因,目前的Web服务还存在些不安定因素,风险和要挟正阻碍着企业信息化、电子商务和电子政务普及的过程。另外,从网络最终用户角度看,不论是作为企业的一员还是网民个人,在应用互联网搜索资讯信息、与朋友(网友)社交聊天或购物时,这些服务可能被不法分子利用,借助技巧或诱骗等手段实行一些恶意行动,如困惑、诱骗。本章对以Web为代表的范例互联网服务中存在的安全问题进行分析,并对这些利用服务中的安全保障措施和方法加以介绍。
Web程序安全
Web是一种B/S的系统结构,即浏览器( Browser)/服务器( Server)结构,这与中央模式的盘算机结构类似:有许多散布式的、功效单一的“瘦”客户端(浏览器),重要完成显示数据的功效;还有一个功效壮大的“胖”服务器,完成重要业务的盘算处理。
Web系统重要建立在 World Wide Web(WWW)、超文本标记语言(HTML)以及超文本传输协议(HTP)的基础上。除此之外一个功效复杂的Web站点通常还包含Web服务器、Web利用程序和数据库等组件,如图1所示。
Web利用程序
Web利用程序是运行在Web服务器上的程序,也被称为业务逻辑模块,一个Web站点的重要功效都由其Web利用程序完成,早期的静态Web利用程序只有一层,供给用于显示的页面;后来随着Web利用程序的发展,功效越来越复杂与多样化,涌现了多层的概念,这种多层的系统结构扩大了底本相对简略的东西,把它变成了一个动态引擎,可以与用户实时地交互。
多层的概念对懂得Web利用程序的结构来说非常重要,与图11-1所示的Web系统结构相比,Web利用程序自身就可以展开为三层表现层、业务逻辑层和数据层,如图2所示。
其中,表现层的功效是吸收用户恳求,把用户提交的数据以适当的格式传递给业务逻辑层,待业务逻辑层返回成果后,以适当的情势显示给用户。业务逻辑层根据表现层传入的数据履行相应的操作,并把履行成果返回给表现层,业务逻辑层在履行操作时,有时会关系到易失数据的存取(持久化),该功效由数据层通过操作数据库完成。
把这三者离开实现有明显的优势,如进步Web利用程序的硬朗性、伸缩性、可掩护性等。
从理论上,Web利用程序分为三层,但现实中,许多广为应用的技巧可以把其中的一层或者几层加以合并,含混了层次的概念,如JSP( Java Server Page),可以在一个JSP文件中实现所有的表现层、业务逻辑层和数据层的功效。尽管如此,还是盼望读者能够懂得其中不同部分实现不同层次的分工。毕竟,Web利用程序的多层化是一个不可避免的趋势。
可实现Web利用程序的技巧很多,表3中列出了一些已经被广泛吸收和应用的技巧及其供给商。
由于Web服务器和Web利用程序的界限很含混,因此,一般不区分,而是统一称为Web站点,从Web安全的角度来说,Web服务器和Web利用程序的软弱性是有差别的,都需要被重点关注,所以,在接下来的几节中,会不时提到Web服务器,Web利用程序和Web站点等名词,请读者注意其中的细微差别。
