Web2.0应用技术风险及对策研究.pdfVIP

团舌fif柱，律，， 姓名首字母：X．Z 优秀奖 有勇气承认。能够反思并认识到曾经的失误，这正是一个学科走向成熟的体现。图书馆界应大力在服 务广度上下功夫，理性看待服务深度。我们切不可只凭主观意志行事，要从读者需要和图书馆实际可 能两个角度出发，扎实推进服务深度的理论研究和实践探索，促进图书馆事业健康发展。 参考文献： [1】情报学．[2010-01-16】．http：／／baike．baidu．com／vJew／15746．htm 【21知识管理．【201 0-01-16】．http：／／define．cnki．1iet／WcbForms／ 【3】情j医Jl臣务．【2010-01一I 【4】情报服务．【2010-Ol一16】．http：／／www．hudong．com／wiki／ 【5】定题服务．【2010-01—16】．http：／／www．sem．tSinghua．edu．cli／homepage／ [6】知识管理．【2010-01-16】．http：／／wiki．mbalib．com／wiki 作者简介：颜务林，男，1962年9月生，(宁波)大学园区图书馆馆长，研究馆员，已发表论文80余篇； 李亚芬，浙江大学宁波理工学院． Web2．0应用技术风险及对策研究1 扬传明 (苏州科技大学经济与管理学院苏州215009)· 摘要Web2．0广泛应用带来了不容忽视的技术风险。在归纳分析网络钓鱼、跨站点脚本漏洞、城名 劫持等十余种主要技术风险及特点的基础上，设计并实现基于Web服务形式集成安全互操作原理，由 云保护层、网关扣客户端组成的三层安全保护体系，并对Web2．O开发人员和用户提出相关安全建议。 关键字Web2．O技术风险安全体系 · 1引言 Web2．0是基于元数据评注信息发布方式的新型互联网，其紧密围绕以客户为中心，使得互联网由 少数资源控制者集中控制主导的体系转变为自下而上的由广大用户主导的体系，它以Blog、Tag、SNS、 利用开放的Web应用API来开发Web服务n{1。 2Web2．0应用技术风险 Web2．0使得每个网络用户都可以成为创造者、建设者和分享者，但普通企业与网民无法详细了解 网页动态信息技术；同时为了提高网站功能，开发人员在网络应用程序后台加入了一系列新的未经过 高达50％Ⅱ1，这一切使得防御Web2．0应用技术风险变得刻不容缓，现行主要风险有： 冈考躇根工作，．， 优秀奖 姓名首字母：X．Z 2．1网络钓鱼(Phi shing) 信用卡信息、社保编号等个人资料，获得用户的某种身份信息，进而窃取用户的个人财产。据RSA反 止2008年12月，AFCC已在全球超过135个国家关闭了50000多个网络钓鱼攻击H。。 网络钓鱼攻击常用的技术手段有：利用SMTP协议不验证发送人身份的漏洞伪装成著名金融机构、 银行和在线交易网站向用户发送欺诈邮件，其URL地址可能直接就是IP地址，或者使用不易分辨的与 合法域名类似的字符串作为域名；当用户在使用即时通讯软件时，诈骗者就使用虚假信欺骗用户，从 的指向异常，比如空指向，或者指向不一致的域；利用普通用户上网的特点及自动有哪些信誉好的足球投注网站算法的规则使 得精心设计的钓鱼网站排列于有哪些信誉好的足球投注网站结果的显著位置，诱使用户点击，此类页面存在相当一部分资源的 来源异常或其域名为近期注册或无法查询注册信息。 2．2跨站脚本漏洞(Cross-SiteScripting) 跨站脚本通常包括Reflected 代码中插入的具有恶意目的的数据，受害者的包含信息的浏览器上会运行来自特定网站的恶意JAVA脚 本代码，当浏览器下载该页面时或在用户的会话cookie失效之前，嵌入脚本将被解释执行，允许非法 用户劫持用户的对话并且接管整个账号，或者泄露最终用户的文件，安装木马程序，改变用户访问的 网页和修改网站信息。 2．3域名劫持 域名劫持通过公司主页面所提供的Make