第5章
利用訪問控制漏洞入侵Web及防范技術

隨著Web服務的廣泛應用，Web服務中的訪問控制策略描述及實現顯得尤為重要。目前，Web服務安全標準及其實現并不完善，Web服務安全多數交由作為應用程序服務器的Web服務器的安全機制管理。例如，Tomcat服務器為用戶、組、角色的管理和為訪問Java-Web應用程序的權限提供了安全管理。但是，Tomcat中的授權是粗粒度的，也就是說，Tomcat不可能限制對Web服務的單個的訪問操作。

訪問控制（Access Control）指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎，是網絡安全防范和資源保護的關鍵策略之一，也是主體依據某些控制策略或權限對客體本身或其資源進行的不同授權訪問。

接下來我們就針對利用訪問控制漏洞進行Web入侵與防護的方法和技術，討論如何根據不同情況應對Web入侵。