下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 基于j2ee技术的应用系统安全性研究 刘凡【摘要】由于互联网的开放性,应用系统的安全问题也越来越被重视。本文从分析j2ee体系结构入手,探讨在系统设计和开发过程中,软件研发人员应注意哪些方面的安全问题,并在系统开发时采取何种安全措施,保证应用系统的安全性。【关键词】j2ee;安全性;体系结构tp309.2 a 1672-5158(2013)04-0124-011、引言以java平台为核心的j2ee(java 2 platform enterprise edition】技术因为其”编写一次,随处运行”的特性,方便存取数据库的jdbc(java
2、 database conneetivity)技术以及能够在internet应用中保护数据的安全模式,对java servlet api,jsp(java server pages)和xml(extensible markuplanguage)技术的全面支持等等,被广泛应用于各种b/s架构的应用系统建设中。由于互联网的开放性,基于b/s架构的应用系统的攻击易于受到入侵和攻击,造成篡改系统页面,窃取系统数据或者植入恶意代码,致使应用系统无法正常运行的危害。2、j2ee技术的体系结构j2ee技术的体系结构如图2所示:j2ee技术的体系结构分成四个部分:客户层,web服务层,应用服务层,数据服务层。
3、从j2ee技术的体系结构分析而看用户对应用系统的访问分为四个处理步骤完成,数据在客户层、web服务层、应用服务层、数据服务层四层之间进行传递和处理,其中客户端通过网络将数据传递至web服务器,然后由servlet引擎和jsp引擎对传递的数据进行解释和分析,把用户的输入发送给运行在业务服务层上的ejb组件来进行进一步的业务处理,最后通过jdbc与数据服务层的数据库进行数据交换,并且将处理的结果返回给用户。web服务层组件和业务服务层组件都运行在j2ee服务器上。因此,应用系统的安全需要考虑以下几个方面:数据传输的安全,web服务器的安全,脚本编程的安全。3、基于j2ee技术的应用系统存在的安全问
4、题及安全措施3.1 数据传输安全在对j2ee技术的体系结构分析时,我们知道用户与web服务器的通信,使用的是各种网络传输协议来传输数据。但是,由于网络传输的公共性,数据在传输过程中可能被攻击者中途截获或篡改,给公司带来风险和损失,因此应用系统的安全性必须考虑网络数据传输的安全,而采用ssl(secure sockets layer)协议是目前比较安全有效的处理方法。ssl是一种保证网络上的两个节点进行安全通信的协议,使用加密技术实现在网络上会话双方数据的安全传递。其基本原理是:数据从一端发送到另一端时,发送者先对数据加密,然后再把它发送给接受者。这样,在网络上传输的是经过加密的数据。如果有攻击
5、者在网络上非法截获了这批数据,由于没有解密的秘钥,就无法获得真正的原始数据。接受者接到加密的数据后,先对数据解密,然后再进行处理,从而保证了数据传输中的安全性。3.2 web服务器的安全web服务器的安全问题主要是防范dos攻击,其目的是使计算机或网络无法提供正常的服务。dos攻击主要基于tcp/ip协议通过网络进行攻击,因此首先需要网络管理员在网络上采取大量的预防措施,防止dos攻击带来的服务不能效应。而对于j2ee平台来说,web服务器的安全配置也是我们防止dos攻击的一道防线,即可防范黑客用户的恶意攻击,也可防止用户无限制开启多个并发线程,使得系统很快达到http的最大连接数,堵塞网络,
6、导致系统无法正常运行。3.3 编程的安全3.3.1 用户输入的安全用户输入的安全主要是指sql(structured query language)注入,所谓sql注入,就是通过把sql命令插入到web表单或页面请求的查询字符串,欺骗服务器执行恶意的sql命令,达到窃取系统数据或者非法入侵系统的目的。预防此类攻击的安全措施如下:1.对用户的输入进行校验,限制用户输入长度;对特殊符号进行转换或者屏蔽输入等。2.使用参数化的sql或者直接使用存储过程进行数据查询存取。3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。3.3.2 页面的访问控制通常,用户须输入了正确的用户
7、名和口令成功登录应用系统,才能访问普通用户不能访问的包含公司重要数据的页面。然而如果软件开发人员在编程时考虑不周全,对所有的页面不进行适当的访问控制,非法用户就可直接在浏览器地址栏中输入重要页面的url来访问该页面,绕过了登录界面直接进入应用系统,获取系统数据,给系统安全造成了威胁。解决这个问题需要利用java提供的过滤器机制以及session对象。在用户登录成功后,就把用户名存入会话的session变量中,然后通过过滤器将用户需要访问的资源进行拦截。这样,用户访问系统页面时必须先进行验证,在过滤器中我们先读取session变量,判断用户是否存在,不存在则证明用户还没有登录,将用户请求重定向到登录页面。4、结束语在it技术高速发展的今天,应用系统的安全已变得至关重要。保证应
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 电工电子技术(第3版) 课件 1.8.1 叠加定理
- 银行员工行为规范手册制度
- 测量课件之大比例尺地形图的测绘
- 年度安全工作计划15篇
- 《言语产生》课件
- 吉林省白山市2023-2024学年高二上学期1月期末考试+物理 含解析
- 2017年安徽省中考思想品德第一轮复习时事专题热点解读
- 《信息科学部》课件
- 上海市2025届高考考前提分语文仿真卷含解析
- 2025届宁夏吴忠市青铜峡高级中学高三第一次调研测试英语试卷含解析
- 市政给水管道施工组织设计方案
- 行长招聘笔试题与参考答案(某大型国企)2024年
- 正念减压疗法详解课件
- 国际贸易风险评估
- 中华护理学会40个团体标准学习考核(1-20项)复习试题及答案
- 统编版(2024)七年级上册道德与法治第三单元《珍爱我们的生命》学情调研测试卷(含答案)
- 国家级紧急医学救援队伍建设规范
- 基层预防接种工作全员培训考试题库及答案
- 预算绩效评价管理机构入围投标文件(技术方案)
- 语文园地三(课件)2024~2025学年语文一年级上册统编版
- (高级)铁路货运员职业技能鉴定考试题库(浓缩500题)
评论
0/150
提交评论