web應(yīng)用安全現(xiàn)狀及防護(hù)研究

惠好學(xué)（西安文理學(xué)院，陜西西安，710065）

web應(yīng)用安全現(xiàn)狀及防護(hù)研究

惠好學(xué)
（西安文理學(xué)院，陜西西安，710065）

在運用web應(yīng)用時，應(yīng)重視系統(tǒng)本身的安全保護(hù)，對系統(tǒng)中的漏洞及時進(jìn)行處理與防護(hù)，以避免發(fā)生網(wǎng)絡(luò)安全事件，給用戶帶來不可挽回的損失。本文首先闡述了web應(yīng)用的安全現(xiàn)狀，對系統(tǒng)的主要幾種攻擊方式進(jìn)行了探討并提出了一些防護(hù)對策，為web應(yīng)用的安全防護(hù)提供理論借鑒。

web應(yīng)用；安全現(xiàn)狀；防護(hù)

Web應(yīng)用普遍地運用在互聯(lián)網(wǎng)中，成為互聯(lián)網(wǎng)系統(tǒng)中的重要組成部分。該應(yīng)用主要通過網(wǎng)絡(luò)技術(shù)與用戶的服務(wù)器進(jìn)行連接，從而完成數(shù)據(jù)的傳輸以及管理工作。隨著網(wǎng)絡(luò)市場的快速發(fā)展，各種web應(yīng)用軟件層出不窮，質(zhì)量不一，出現(xiàn)安全問題的情況越來越多，因而更加引起人們的重點關(guān)注與研究。本文對該系統(tǒng)的安全現(xiàn)狀以及防護(hù)措施進(jìn)行了探究，以提高web應(yīng)用的安全性，確保用戶的利益不受影響。

1 關(guān)于web應(yīng)用的安全現(xiàn)狀分析

有調(diào)查顯示，我國互聯(lián)網(wǎng)上有大量的主流應(yīng)用軟件以及門戶網(wǎng)站被木馬病毒進(jìn)行“掛馬”，并且以驚人的速度在大幅度上升。大部分的木馬病毒為了擴(kuò)散傳播選擇在一些用戶常用的軟件上惡意“掛馬”，用戶計算機(jī)不慎點入后將可能導(dǎo)致數(shù)據(jù)信息的損壞以及修改。而出現(xiàn)安全問題的原因在于，web應(yīng)用軟件本身存在安全漏洞，系統(tǒng)缺陷，給攻擊者提供進(jìn)攻機(jī)會。應(yīng)用系統(tǒng)的不安全設(shè)置、實現(xiàn)代碼出現(xiàn)漏洞、系統(tǒng)本身缺陷、程序員造成的安全漏洞都可能給web應(yīng)用帶來惡意攻擊。且大部分攻擊無法被計算機(jī)防火墻或者入侵監(jiān)控系統(tǒng)有效處理。

其次，網(wǎng)絡(luò)用戶雖然在安全設(shè)備上愿意付出大量成本，例如防火墻的配置、漏洞掃描、系統(tǒng)修復(fù)工具等，但是卻容易忽視web應(yīng)用軟件的自身安全，無法有效地對該軟件進(jìn)行安全保護(hù)。一些普通且不易被察覺的攻擊只要連接上用戶的服務(wù)器，進(jìn)行攻擊，放火墻等用于維護(hù)網(wǎng)絡(luò)安全的設(shè)備將無法進(jìn)行阻止。因為，SQL注入攻擊進(jìn)行訪問時，不能被證明該訪問是對用戶網(wǎng)絡(luò)進(jìn)行惡意的攻擊，不能被制止訪問，只有在出現(xiàn)問題后才被發(fā)現(xiàn)，而此時一般的安全設(shè)備已無法應(yīng)對SQL注入語句這類簡單的攻擊方式，web應(yīng)用被入侵的可能性極大且可能造成不可估量的損失。

2 常見的的安全問題

人們在享受web應(yīng)用軟件所提供的便捷與各種，也同時面臨著它帶來的安全隱患。目前該軟件存在來自多方面的安全問題，包括未經(jīng)允許的存儲動作、信息攔截竊取、服務(wù)器注入攻擊、系統(tǒng)自身漏洞或操作產(chǎn)生的漏洞以及實現(xiàn)代碼漏洞。相關(guān)的攻擊報告統(tǒng)計，系統(tǒng)本身的缺陷形成的安全問題占高比例，而SQL注入語言攻擊顯得尤為突出。

2.1 SQL注入攻擊

常見的注入攻擊有SQL注入、LDAP、XPath等形式。這種攻擊方式主要是管理員對web應(yīng)用軟件疏于檢查，對輸入的數(shù)據(jù)的合法性不夠重視，從而導(dǎo)致攻擊者能輕易向應(yīng)用程序中的解釋器發(fā)布惡意的數(shù)據(jù)指令。這類攻擊一般不易被安全設(shè)備發(fā)現(xiàn)，攻擊后形成巨大的損失，對整個的信息數(shù)據(jù)進(jìn)行竊取、截獲、篡改。更嚴(yán)重時，可以通過指令獲取管理員的服務(wù)器訪問自由，徹底控制服務(wù)器。

2.2 不安全的存取動作

Web應(yīng)用中出現(xiàn)較為嚴(yán)重的安全事件往往是因為在操作系統(tǒng)中出現(xiàn)了問題，導(dǎo)致安全漏洞出現(xiàn)。不安全的存取讓一些未經(jīng)允許的用戶進(jìn)入服務(wù)器，得到重要的文件以及數(shù)據(jù)信息。用戶甚至可以借此漏洞隨意修改損壞服務(wù)器上的數(shù)據(jù)。

2.3 信息攔截竊取

Web軟件的安全問題主要出現(xiàn)在信息的發(fā)送中，當(dāng)用戶向服務(wù)器進(jìn)行信息發(fā)送時，惡意攻擊者對發(fā)送的重要信息截取并修改，間接造成用戶的經(jīng)濟(jì)損失及其他損失。

2.4 服務(wù)器注入攻擊

該問題的出現(xiàn)指的是當(dāng)攻擊者主動對服務(wù)器發(fā)起進(jìn)攻時，會遭受拒絕服務(wù)的攻擊。對服務(wù)器過量的訪問請求，將操作系統(tǒng)中的數(shù)據(jù)資源嚴(yán)重耗費。最終，服務(wù)器面對用戶的客戶的合理請求時無法回應(yīng)處理。

2.5 系統(tǒng)自身漏洞或操作產(chǎn)生的漏洞

攻擊者一般是利用系統(tǒng)本身存在的漏洞或程序員在操作時形成的漏洞，對整個系統(tǒng)展開攻擊，使得整個系統(tǒng)的安全性被破壞，數(shù)據(jù)嚴(yán)重丟失。

2.6 實現(xiàn)代碼漏洞

程序員在對該程序進(jìn)行設(shè)計編碼時，只對系統(tǒng)的性能以及功能進(jìn)行設(shè)計而忽視了系統(tǒng)的安全性設(shè)計。在編寫代碼時造成漏洞，造成防火墻或者一般檢測系統(tǒng)無法控制的注入漏洞，SQL語言被惡意輸入系統(tǒng)后，得到應(yīng)用的執(zhí)行，造成應(yīng)用安全系統(tǒng)的癱瘓。究其根源，在于程序員操作疏忽，編寫代碼時檢測不徹底。

3 常見的5種攻擊方式以及影響（如表1）

4 提高web應(yīng)用的安全防護(hù)對策

4.1 注重保護(hù)操作系統(tǒng)安全

軟件的操作系統(tǒng)是網(wǎng)絡(luò)軟件安全的首要保障，關(guān)乎著web應(yīng)用的安全。對操作系統(tǒng)的保護(hù)主要有5方面需要加以重視。第一，及時更新升級系統(tǒng)存在的補丁。避免出現(xiàn)系統(tǒng)漏洞，給惡意攻擊者可乘之機(jī)。第二，及時關(guān)閉網(wǎng)絡(luò)窗口，減少入侵入口，降低攻擊的可能性。第三，規(guī)范集中處理登陸密碼，制定嚴(yán)格的密碼管理程序，對各個網(wǎng)站應(yīng)用的進(jìn)入密碼嚴(yán)格統(tǒng)一管理。第四，及時關(guān)閉沒有使用的服務(wù)器，尤其是軟件的安裝過程中應(yīng)格外注意，從而降低出現(xiàn)安全事件的可能性。第五，進(jìn)行權(quán)限設(shè)置。對文件系統(tǒng)主張最小的用戶權(quán)限，杜絕跨站腳本方面的攻擊方式。

4.2 網(wǎng)絡(luò)防護(hù)與通信防護(hù)

互聯(lián)網(wǎng)包含著很多數(shù)據(jù)信息，面臨大量的訪問要求。保證網(wǎng)絡(luò)的安全首要的是進(jìn)行完善的網(wǎng)絡(luò)防護(hù)。網(wǎng)絡(luò)防護(hù)的技術(shù)主要是通過網(wǎng)絡(luò)層，例如端口、協(xié)議等方面的保護(hù)。主要是借助 防火墻或者專業(yè)的交換機(jī)，前提是保障通信的順暢，進(jìn)行系統(tǒng)防護(hù)。在防火墻的使用上，通常只為合法的通信端口打開，對含有眾多病毒的通信口關(guān)閉，從端口處對該系統(tǒng)進(jìn)行分割。還可以借助安全設(shè)備，例如交換器、路由器建立訪問控制，對訪問網(wǎng)站的大量數(shù)據(jù)進(jìn)行過濾。以保障用戶在信息上的安全通信，實現(xiàn)信息傳輸?shù)谋Ｃ芗巴暾?/p>

4.3 SQL語言注入的防御方法

常用的防火墻或者其他安全設(shè)備已經(jīng)無法識別并阻止SQL注入的攻擊，對其防護(hù)措施只能借助其他方式。有效的方式有：檢查靜態(tài)頁面、服務(wù)端過濾技術(shù)。在web軟件應(yīng)用時可以借助黑盒測試、語法解析來進(jìn)行安全監(jiān)測，對SQL注入可能攻擊的代碼進(jìn)行一一排查，對代碼質(zhì)量進(jìn)行嚴(yán)格把控。靜態(tài)頁面的測試有助于綜合評測服務(wù)器的安全程度。

而服務(wù)端的過濾技術(shù)是指在服務(wù)端軟件內(nèi)加入過濾的模板，按照一定的過濾原則分析HTTP傳入的數(shù)據(jù)，隨即找出并阻止非法代碼。

4.4 注重對應(yīng)用的主機(jī)防護(hù)

主機(jī)平臺的安全包括兩方面：主機(jī)系統(tǒng)安全、組件系統(tǒng)安全。對其防護(hù)主要有以下方面：設(shè)置用戶權(quán)限、設(shè)置訪問權(quán)限、關(guān)閉服務(wù)器窗口、關(guān)閉訪問鏈接以及最小化處理安裝策略。用戶在使用該系統(tǒng)時盡量操作規(guī)范，認(rèn)真謹(jǐn)慎，提高主機(jī)的安全性。

5 結(jié)語

目前，Web 應(yīng)用所帶來的安全問題越來越多，而人們對其安全方面的認(rèn)識還存在很多不足，對該系統(tǒng)的安全性重視不夠。本文，對Web 應(yīng)用的安全現(xiàn)狀進(jìn)行了分析，并重點介紹了防護(hù)對策，以提高web應(yīng)用軟件自身的安全性，減少用戶的損失，幫助保障用戶信息的保密與完整。

[1]李昌. Web應(yīng)用安全防護(hù)技術(shù)研究與實現(xiàn)[D].中南大學(xué),2010.

[2]趙忠鑫. Web應(yīng)用的安全現(xiàn)狀及防護(hù)措施[J]. 計算機(jī)光盤軟件與應(yīng)用,2012,21:91-92.

Web application security research present situation and protection

Hui Haoxue
（Xi'an University,Shanxi Xi'an,710065）

Therefore, when using the web application, should attach great importance to the protection of the security of the system itself and loopholes in the system for processing and protection in time, to avoid network security incidents, and to the user bring irreparable damage. This paper first describes the present situation of web application security, probes into several major attacks of system and puts forward some protective measures, provide theoretical reference for web application security protection.

web applications. Security situation; protective

表1 常見的5種攻擊方式以及影響