基于AJAX技术的安全性应用研究


1、选题目的和意义：

   目前，互联网已经逐渐成为人们获取信息的主要渠道，网页浏览又是其中的一种主要的方式。当前互联网上的绝大多数还是传统Web网站，用户和服务器之间是一种同步关系，

服务器在处理请求的时候，用户多数时间处于等待的状态，屏幕内容也是一片空白。这是一种不连贯的用户体验，用户需要的则是一种像桌面应用程序那样流畅、快捷和人性化的Web应用程序。Ajax技术的出现，很好地解决了上述问题，它可以实现局部刷新而不需要重新加载整个页面。因此，人们将越来越多的目光投注到Ajax。然而，伴随着Ajax应用程序的发展，它的安全问题也逐渐突显出来。如果安全隐患没有得到解决，必将影响Ajax 的进一步推广。

从安全性的角度看待任何一项新技术，它在给人们带来方便、快捷的同时，不可避免的会出现安全问题，安全与便利本身就是一个矛盾的两个方面。Ajax的提出是为了解决当前网络给人们带来的不连贯体验，并没有过多关注其安全性。但是，随着Ajax 技术的进一步推广，其安全性势必会影响到它的使用。因此，研究Ajax 的安全性显得越来越重要。                                                                                            

2、国内外研究现状综述[RHT1] ：

    网络信息化不断发展的今天,越来越多的单位建立了自己的网站信息平台,而网站建立后随着浏览器端和服务器端信息交换的数量和频率的增多,其速度的问题逐渐成为一个瓶颈。有鉴于此,技术人员提出了一种解决办法,即Ajax 技术,有效缓解了这一问题,给了用户更好的类似桌面应用程序般的网络交互体验。与此同时,该技术也是把双刃剑,引入了新的问题,带来了很多安全隐患。

日前流行围绕AJAX和安全风险的讨伐声浪让人不绝于耳。这种火热的新技术已经被铺天盖地地应用在各种web应用（构建如Gmail、Google Maps这些基于web的应用），但在其炙手可热的光环背后隐藏着一个黑暗的鬼怪——AJAX正在为心怀恶意的hacker打开着后门。但这并不完全正确。恰好，目前几乎所有的web应用开发老手和安全专家都正在力图冲过冷嘲热讽式的取笑，触及到事情的真相：多数web站点都是不安全，但AJAX并不是罪魁祸首。尽管AJAX不能使web站点变得丝毫安全，但理解它能做些什么是非常重要的。

AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体，它允许web页面内容飞速地更新而无需刷新页面。在使用Ajax的web页面背后，数据（通常格式化为XML，但也可以是HTML、JavaScript等格式）在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中，新的邮件信息被自动接收和显示。在Google Maps应用场景中，用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面，它也是一些实现了“奇思妙想”的JavaScript。
    如果你正在思考这究竟和安全有什么关系，那么你是正确的。AJAX技术使站点平滑地与用户交互，并给用户带来更多的回应。而在web服务器上并没有任何改变，而安全焦点却应该着重在web服务器端。如果这是事实的话，那么我们每个人还考虑什么？在计算机安全社区中，AJAX意味着大量攻击平面（attack surface）、骤增的复杂性、伪造请求、拒绝服务、跨站脚本（XSS）、依赖于客户端安全等等。而事实上，这些问题在AJAX出现之前就已经存在。并且推荐给开发者的安全最佳实践也从没有因为AJAX的出现而改变过。

3、选题研究内容[RHT2] ： 

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况，需要构造巧妙的SQL语句，从而成功获取想要的数据。http://www.fbqkw.com