文档介绍:上海交通大学
硕士学位论文
面向AJAX框架Web服务的攻击和安全防御
姓名:陈悦
申请学位级别:硕士
专业:通信与信息系统
指导教师:薛质
20061201
上海交通大学工学硕士学位论文
面向 AJAX 框架 Web 服务的攻击和安全防御
摘要
随着网络通信与计算机技术的飞速发展,Web 服务的种类也逐渐
多样化。传统的 Web 技术由于互动性和实时性的缺陷,已经无法满足
现实的需要。然而,由于 XML HTTP Request 技术在 Google,Microsoft
等行业巨头的推动下发展成熟,以突出互动性,实时性用户体验的
AJAX 框架在 2005 年开始在 上崭露头角,并在 2005 到 2006
年间广泛流行,不但大有取代传统的 Web 服务架构的趋势,而且被冠
以 Web 的高度,被业界公认为下代 Web 服务的技术标准。
本文首先对基于 AJAX 框架的 Web 服务整体架构进行了研究。通
过对 AJAX 框架技术基础,组件构成和工作流程等的研究,充分的展
现了 AJAX 框架互动性和实时性的优势所在,同时也指明了其相对于
传统 Web 服务的若干缺点。
然后,本文研究了基于 AJAX 框架体系所面临的安全薄弱点,通
过分析各种注入缺陷问题,浏览器问题,跨域发送问题,AJAX 桥问
题和 JavaScript 问题等诸多安全问题,给出了现阶段 AJAX 框架可能
遭受的各种攻击类型和具体攻击方法。
随后,文章对两个针对 AJAX 框架进行攻击的蠕虫作了详尽的解
析,分析其机理和技术。针对其不成熟之处,提出了下一代 AJAX 蠕
虫将能做出的技术改进和具有的结构特征,并验证了实施各种改进技
I
上海交通大学工学硕士学位论文
术的可行性。
最后文章在已有安全检测和评估体系的基础上,给出了一系列监
测针对 AJAX 框架攻击和评估 AJAX 框架漏洞的算法和解决方案,并
总结性的提出了开发 AJAX 框架时,需要尤其重视的安全策略,为
AJAX 框架在未来的进一步发展保驾护航。
关键词: AJAX,,Web 安全,Web 蠕虫
II
上海交通大学工学硕士学位论文
NETWORK ATTACK AND DEFENSE ON AJAX
FRAMEWORK
ABSTRACT
With the swift development munication puter
technology, web services e more and more diversified. Traditional
Web technology can not fulfill the requirement of work due to
limitation on interaction and real timing. However, AJAX framework
comes into being in 2005 and es popular in 2006 with strong
supports from Google and Microsoft. Based on XMLHTTPRequest,
AJAX framework strengthens on interaction and real timing and is
regarded as the standard for Web service of next generation with the title
of .
At first, this paper analyzes the infrastructure of AJAX Web service.
With the study on AJAX technical base, component structure and work
flow, not only the advantage of AJAX framework is entirely demonstrated,
but the weakage of AJAX framework is pointed out.
Secondly, we research the security issues that AJAX framwork faces.
III
上海交通大学工学硕士学位论文
By analyzing various injection issues, web browser