返回
基于ajax的web攻击及防御方法_王竞超

基于ajax的web攻击及防御方法_王竞超

ID:34563227

大小:1007.23 KB

页数:5页

时间:2019-03-08

基于ajax的web攻击及防御方法_王竞超_第1页
基于ajax的web攻击及防御方法_王竞超_第2页
基于ajax的web攻击及防御方法_王竞超_第3页
基于ajax的web攻击及防御方法_王竞超_第4页
基于ajax的web攻击及防御方法_王竞超_第5页
资源描述:

《基于ajax的web攻击及防御方法_王竞超》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机与现代化2012年第12期JISUANJIYUXIANDAIHUA总第208期文章编号:1006-2475(2012)12-0119-04基于Ajax的Web攻击及防御方法王竞超,刘光耀(华北计算技术研究所航空信息系统部,北京100083)摘要:Ajax作为Web2.0的核心技术,可以异步地向服务器发出请求并实现页面的局部刷新,已经成为开发Web应用的必备技术之一。伴随着此项技术的蓬勃发展,越来越多的安全问题也浮出水面。本文分析基于Ajax的几种Web攻击方式和防御方法,并对其中一种攻击进行实例分析

2、,验证文中提出的防御方法的有效性。关键词:Ajax;Web攻击;防御方法中图分类号:TP393.08文献标识码:Adoi:10.3969/j.issn.1006-2475.2012.12.031WebAttacksandDefenseMethodsBasedonAjaxWANGJing-chao,LIUGuang-yao(DepartmentofAviationInformationSystem,NorthChinaInstituteofComputingTechnology,Beijing100083,

3、China)Abstract:AjaxasacoretechnologyofWeb2.0,cansendrequesttoserverasynchronouslyandmakepartialpagerefresh,whichhasbeenanessentialtechnologyfordevelopingWebapplications.Alongwiththistechnologybooming,moreandmoresecurityis-suesalsoemerge.Thispaperanalyzess

4、everalAjaxWeb-basedattackanddefensemethods,andcarriesoutcaseanalysesbasedononeoftheattacks,toverifytheeffectivenessoftheproposeddefensemethods.Keywords:Ajax;Webattack;defensemethod0引言1Ajax介绍Ajax(AsynchronousJavaScriptandXML,异步1.1技术简介JavaScript和XML)是一种设计和构

5、建Web页面的方Ajax技术的核心是XMLHttpRequest对象,简称法,可以使Web应用具有像桌面应用一样的交互性XHR。这是由微软首先引入的一个特性,IE5是第一和响应性。它作为Web2.0核心之一,并不是一项新款引入XHR对象的浏览器,在IE5中,XHR对象是的技术,实际上,它是由几种已经发展成熟的技术以通过MSXML库中的一个ActiveX对象实现的。随着一种新的方式组合在一起形成的。借助Ajax,可以在Ajax的普及,其他浏览器也逐渐将XMLHttpRequest不卸载页面的情况下,向服务器

6、请求数据并实现页面实现为一个本地的JavaScript对象[4]。的局部刷新,基于这种方式,Web2.0给人们呈现了传统的Web应用是在用户填写完表单并提交时[1-2]丰富多彩的交互效果。向服务器发送请求,此时原页面卸载,服务器接收并伴随着Ajax技术的广泛应用,越来越多的安全处理完传递过来的表单后会返回一个新的指定页面问题也浮出水面。黑客能够利用Ajax应用程序内部呈现给用户。但这种方式极大地浪费了资源,同时用的某些安全漏洞严重危害应用程序,包括身份窃取、户体验非常不好,一旦表单数据有一个填写错误,只[

7、3]浏览器崩溃、非法获取Cookie、越权访问服务器等。有在提交后才能发现,且还需要重新填写其他已经正本文将对几个常见的基于Ajax的攻击方式进行简单确的内容。与此不同,Ajax应用可以在不卸载页面介绍,并根据每种攻击方式提出一种可行的防御方的情况下将部分数据提交给服务器,并利用JavaS-法。cript处理服务器返回的内容来实现页面的无等待刷收稿日期:2012-11-02作者简介:王竞超(1987-),男,甘肃白银人,华北计算技术研究所航空信息系统部硕士研究生,研究方向:计算机技术与应用;刘光耀(197

8、6-),男,山东烟台人,高级工程师,研究方向:计算机技术与应用。120计算机与现代化2012年第12期新。此技术相当于在浏览器和服务器之间添加了一2.1中间人攻击个中间层———Ajax引擎,它是一个用JavaScript编写中间人攻击(Man-in-the-MiddleAttack,简称的较为复杂的应用程序,它既可以用来渲染页面也能“MITM攻击”)是一种“间接”的入侵攻击,这种攻击[5]实现浏览器与服务器之间的通信。模式是通

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。