Web網站的安全問題及防護策略

李 尚

（國家新聞出版廣電總局 機關服務局，北京 100866）

Web網站的安全問題及防護策略

李 尚

（國家新聞出版廣電總局 機關服務局，北京 100866）

本文針對Web網站的安全現狀進行分析，介紹目前常見的對Web網站攻擊的手段和危害，探討如何采取相應的防護策略加固網站的安全。

計算機網絡；網站安全；防護

計算機網絡技術被廣泛應用在各行各業，改變了許多人的生活方式。網上購物，微信聊天，通過手機獲取資訊等互聯網應用已經融入到人們的生活。網絡數據的安全問題成為了我們關注的焦點，在互聯網及大數據快速發展的今天，如果網站存在安全漏洞，就會造成大量用戶的數據泄密和不可估量的損失。解決Web網站的安全問題迫在眉睫。

1 Web網站安全現狀分析

隨著Web網站站點數量快速增長，人們不僅會訪問境內的網站，也會連接到其他國家的網站，因此Web網站的安全問題變得更加嚴峻。Web網站常見的安全隱患如下。

1.1 自然因素

計算機信息系統是智能機，由軟件設施和硬件設施組成，機器設備容易受到自然因素的影響。例如，自然環境中的氣溫、火災、空氣濕度、化學物質的污染、聲音污染等。由于計算機設備中沒有防水、防潮、防震、防火等功能，所以沒有防御自然災害的能力。

1.2 網絡系統因素

Internet技術具有開放性，這是網絡系統的優勢，同樣也是劣勢。從網絡安全角度來看，正是因為Internet技術的開放性，造成網絡安全的巨大隱患。不法犯罪分子通過網絡平臺，惡意盜取計算機用戶的信息，進行犯罪活動，造成用戶的經濟損失。

1.3 黑客惡意攻擊

黑客的惡意攻擊包含兩方面：（1）網絡攻擊，在用戶使用網絡的過程中進行數據破壞；（2）不影響用戶的正常使用，有目的性地進行信息竊取。

黑客攻擊是對網絡安全的重大威脅，不法分子利用非法的手段進行系統信息的盜取、竊聽、修改、破壞等，導致系統數據的丟失和外泄，給國家的經濟造成嚴重的損失。

1.4 用戶因素

很多網站開發人員熟知網頁的搭建和界面的美化，但網絡安全的技能相對薄弱，從而導致網站在建成后存在很多常見的安全隱患。此外，網站在上線后，沒有專職的安全維護人員對網站服務器進行安全補丁的更新，易被攻擊者利用。

2 Web網站攻擊手段和危害

2.1 SQL注入攻擊

SQL注入攻擊利用服務器端代碼自身存在的漏洞進行攻擊，在Web客戶端和服務器連接后，對數據庫后端進行攻擊。這種攻擊方式的優勢在于，攻擊者可以直接訪問數據庫，跳過了很多安全防護機制，進而使用非法獲得的權限對非授權的數據進行訪問。SQL攻擊存在大量的方法，十分靈活，攻擊者可以根據Web應用程序中存在的各種漏洞，編寫不同的腳本，選擇最有效的攻擊方法。最常見的SQL攻擊分為以下3種：

（1）get型注入，get型SQL注入存在于帶有參數的動態網頁中。網站開發人員沒有對參數進行過濾，攻擊者可以使用ID所帶的參數直接進入數據庫中查詢，輕易地得到網站數據庫中的信息。

（2）post型SQL注入，隱蔽性更強的攻擊方式。post方式傳遞數據應用于目前大多數網站后臺登錄框中，如果沒有過濾，攻擊者就能獲取到管理員賬號密碼，提升權限，非法進入網站的后臺管理系統。

（3）cookie型SQL注入，在ASP語言中request對象獲取客戶端提交數據常用get和post兩種方式。如果網站開發人員沒有定義數據傳遞方式，通過cookie就可以獲取客戶端提交的數據，如果再對相應的數據過濾，cookie注入就產生了。攻擊者一般會在前兩種方式失效后采取cookie型SQL注入的攻擊方式。

SQL注入攻擊對網站的危害包括4個方面：

（1）網站數據庫遭受攻擊。數據庫放置著所有用戶信息等重要數據，一旦被竊取，導致網站用戶的隱私信息落入攻擊者手中，攻擊者就可以從中獲得非法利益。

（2）獲得網站管理權限。數據庫中存儲著網站管理員的賬戶信息，管理員擁有網站管理系統的最高權限，一旦被非法獲得，網站后臺數據就會被篡改，網站頁面也會直接被篡改。

（3）網站被植入木馬。攻擊者入侵網站后在系統內留下后門，網站服務器就變成了僵尸主機。

（4）直接破壞硬盤中的數據，致使系統遭到破壞。

2.2 XSS跨站腳本攻擊

跨站腳本攻擊（XSS）是由于Web開發者在編寫應用程序時沒有對用戶提交的語句和變量中進行過濾或限制，攻擊者通過Web頁面向數據庫或HTML頁面中提交惡意的html代碼，當用戶打開有惡意代碼的連接或頁面時，惡意代碼會自動執行，從而達到攻擊的目的。

2.3 WebShell攻擊

WebShell是Web入侵的一種腳本工具，通常情況下，是一個ASP、PHP或者JSP程序頁面，也叫做網站后門木馬，在入侵一個網站后，常常將這些木馬放置在服務器Web目錄中，與正常網頁混在一起。通過WebShell，長期操縱和控制受害者網站。

2.4 目錄遍歷攻擊

目錄遍歷攻擊又稱目錄穿越、惡意瀏覽、文件泄露等，攻擊者利用系統漏洞訪問合法應用之外的數據或文件目錄，導致數據泄露或被篡改。目錄遍歷攻擊的危害在于，在攻擊過程中，攻擊者并不清楚網站的主目錄位置，但是只要通過簡單的測試就可以推斷出結果。因而，通過目錄遍歷攻擊，攻擊者就可以突破網站主目錄的限制，而去訪問服務器上的敏感文件。

3 Web網站的防護手段

采取單一的手段無法解決當前的Web網站安全問題，需要針對不同的攻擊方式采取不同的手段，再結合整體的構建，對Web網站實現多重加固。

3.1 SQL注入的防范

（1）對于SQL注入的防范關鍵是在源代碼，要完善源代碼，對每一個進入數據庫查詢的變量進行嚴格過濾。

（2）盡量設置復雜的Web網站后臺目錄，攻擊者即使破解出用戶名和口令，但是找不到后臺路徑就不可能上傳惡意腳本。

（3）加強網站數據庫的用戶權限設置，Web網站連接數據庫的用戶權限設置為最小，并以最小權限原則建立專門的賬戶，運行數據庫服務。

3.2 XSS跨站腳本攻擊的防范

（1）XSS在用戶輸入處存在漏洞，必須對用戶輸入部分進行過濾。

（2）嚴格控制存儲到服務器端的數據。

（3）使用XSS工具進行測試，一旦發現問題，馬上處理。

3.3 WebShell攻擊的防范

對于WebShell攻擊的防范最關鍵是防止ASP、PHP、JSP等木馬程序文件的植入。一般可以從以下幾方面對安全性進行處理。

3.3.1 Web軟件開發的安全

（1）程序中存在文件上載的漏洞，攻擊者利用漏洞上載木馬程序文件。

（2）防SQL注入、防暴庫、防COOKIES欺騙、防跨站腳本攻擊。

3.3.2 服務器的安全和Web服務器的安全

（1）服務器做好各項安全設置，病毒和木馬檢測軟件的安裝（WebShell的木馬程序不能被該類軟件檢測到），啟動防火墻并關閉不需要的端口和服務。

（2）提升Web服務器的安全設置。

（3）對以下命令進行權限控制，以Windows為例：如cmd.exe、net.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe等。

3.3.3 ftp文件上載安全

設置好ftp服務器，防止攻擊者直接使用ftp將木馬程序文件上傳到Web程序的目錄中。

3.3.4 文件系統的存儲權限

設置好Web程序目錄及系統其它目錄的權限，相關目錄的寫權限只賦予給超級用戶，部分目錄寫權限賦予給系統用戶。

3.3.5 不要使用超級用戶運行Web服務

對于apache、tomcat等Web服務器，安裝后要以系統用戶或指定權限的用戶運行，如果系統中被植入了ASP、PHP、JSP等木馬程序文件，以超級用戶身份運行，WebShell提權后獲得超級用戶的權限進而控制整個系統和計算機。

4 使用Web應用防護系統加固網站安全

Web應用防護系統（WAF，Web Application Firewall）是根據當今網絡大環境應運而生的一類產品，WAF用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題，與傳統防火墻相比，WAF工作在應用層，能夠針對應用層的攻擊進行防范過濾。

通常情況下，WAF放在企業對外提供網站服務的DMZ區域或者數據中心服務區域，Web服務器是WAF所保護的對象，部署時要使WAF部署在Web服務器的前端，并盡量靠近Web服務器。WAF設備一般設有IPS漏洞特征識別庫、Web應用防護識別庫、實施漏洞分析識別庫、數據泄密防護識別庫、僵尸網絡識別庫，部署WAF后，可以對識別庫內的各種攻擊進行防護，并且設備廠家會提供識別庫的更新，來應對最新的攻擊手段。現在主流的WAF產品都能夠對內網的網絡安全狀況進行評估，發現實時漏洞風險，記錄安全事件，統計網絡各端口或者IP的流量，并能從中識別出異常的流量。網絡管理員可以清晰的掌握網絡中各種安全問題，包括攻擊的來源和攻擊手段，進而采取相應的策略，來加固網站的安全。部署了WAF后，網站的安全得到了明顯的加固。

5 結束語

通過對目前Web網站攻擊手段的分析，采取相應的防范措施，可以使Web網站得到加固，然而，Web網站沒有絕對的安全，只有相對的完善，時刻都會有新的安全問題浮現出來。面對當前日益嚴峻的安全形勢，網站安全防范必須從多角度、多層次入手，采取行之有效的技術手段和安全措施。

[1]趙 真.淺析計算機網絡的安全問題及防護策略[J].上海工程技術大學教育研究，2010（3）：9-11.

[2]馮永健.計算機網絡的安全問題及防護策略[J].計算機光盤軟件與應用，2014（24）：203-205.

[3]彭 珺,高 珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程，2011，39（1）：121-124.

[4]李 斯.校園網絡安全問題及防護策略[J].網絡安全技術與應用，2009（9）：38-39.

[5]黃順華.軍隊計算機網絡安全體系的研究[D].重慶：重慶大學，2006.

責任編輯 陳 蓉

Security issues and protection strategies for Website

LI Shang
( Agency Service Administration,State Administration of Press,Publication,Radio,Film and Television,Beijing 100866,China)

This article analyzed the security states to Website,introduced the common attack means and harm to the Website,discussed the corresponding protection strategy to strengthen the safety of Website.

computer network;Website security;protection

TP393

A

1005-8451（2016）06-0045-03

2015-12-16

李 尚，工程師。