第5章
利用訪問控制漏洞入侵Web及防范技術(shù)

隨著Web服務(wù)的廣泛應(yīng)用，Web服務(wù)中的訪問控制策略描述及實(shí)現(xiàn)顯得尤為重要。目前，Web服務(wù)安全標(biāo)準(zhǔn)及其實(shí)現(xiàn)并不完善，Web服務(wù)安全多數(shù)交由作為應(yīng)用程序服務(wù)器的Web服務(wù)器的安全機(jī)制管理。例如，Tomcat服務(wù)器為用戶、組、角色的管理和為訪問Java-Web應(yīng)用程序的權(quán)限提供了安全管理。但是，Tomcat中的授權(quán)是粗粒度的，也就是說，Tomcat不可能限制對(duì)Web服務(wù)的單個(gè)的訪問操作。

訪問控制（Access Control）指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護(hù)的關(guān)鍵策略之一，也是主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或其資源進(jìn)行的不同授權(quán)訪問。

接下來我們就針對(duì)利用訪問控制漏洞進(jìn)行Web入侵與防護(hù)的方法和技術(shù)，討論如何根據(jù)不同情況應(yīng)對(duì)Web入侵。