<< 新闻中心

国产JAVA信息化系统HTTP-Ajax安全


——B/S架构系统的Ajax安全防范

2020-06-01 15:35:17 作者 书写人生

内容:

    Spring生态以及MVC设计模式是目前中国最常用的信息化系统技术与设计模式,Ajax异步请求在B/S架构的应用下,将JSON数据传输发挥到了极致,格式化之后的JSON很容易认为辨识。而由此也带来了系统的安全隐患。那么B/S信息化系统建设如何应对HTTP-Ajax安全隐患呢?


背景介绍

    B/S架构系统在Firefox、Google、IE等浏览器调试模式下,信息化系统的所有Ajax请求参数都能够被“用户”轻易获得,从而能够进行接口猜测、数据库表猜测、数据库字段猜测、功能猜测、行为猜测等,Ajax将整个系统安全暴露,“恶意用户”很容易利因为Ajax明文传输而进行攻击。


防护方法

    将浏览器默认的Ajax请求的参数进行加密传输,数据进入后台服务器之后,后台解密得到正确参数,如果“恶意用户”登录系统,查看Ajax请求或拦截HTTP请求,只能得到一串秘文。用户无法猜测接口参数,从而对系统进行保护。


技术要求

    Ajax请求参数以密文形式传输,加密后数据与原文大小应相当,不可过大影响传输效率,加密算法运算效率不能太慢,且保证加密安全性。用户通过Postman、抓包工具等只能得到密文。后台解密不影响逻辑以及开发过程,后台解密效率不能太慢,后台应当能够自动识别请求是否加密请求,从而根据实际情况解密,保证后台系统的自适应性。


AJAX与HTTPS安全

    HTTP-AJAX数据加密不能使用HTTPS替代,二者保护级别与保护对象不同。HTTP-AJAX数据加密保护是对信息化系统业务逻辑数据的加密保护,不仅仅可以防止网络数据嗅探与截取,最主要还可以保护具有系统登录访问权限的用户嗅探与分析(具有系统登录权限的用户嗅探分析,危害更甚)。HTTPS是对网络流量的保护,主要防护网络中的数据嗅探,无法保护信息化系统用户利用浏览器等工具对系统的分析(因为AJAX请求是在HTTPS层之上,对用户是透明数据,对网络传输嗅探是密文。)


加密效果

推荐阅读

首页 分享微博 分享微信 回到顶部