第5章
利用访问控制漏洞入侵Web及防范技术

随着Web服务的广泛应用，Web服务中的访问控制策略描述及实现显得尤为重要。目前，Web服务安全标准及其实现并不完善，Web服务安全多数交由作为应用程序服务器的Web服务器的安全机制管理。例如，Tomcat服务器为用户、组、角色的管理和为访问Java-Web应用程序的权限提供了安全管理。但是，Tomcat中的授权是粗粒度的，也就是说，Tomcat不可能限制对Web服务的单个的访问操作。

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

接下来我们就针对利用访问控制漏洞进行Web入侵与防护的方法和技术，讨论如何根据不同情况应对Web入侵。