淺析Web安全漏洞及防范措施

史超博

摘 要：Web給我們帶來便利的同時，也給我們帶來了極大地安全隱患，最熟為人知的莫過于SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數據庫運行出錯、后臺弱口令漏洞、文件上傳漏洞等隱患，這些Web應用中常見的安全漏洞為我們的學習、工作帶來了很大的不便，因此，計算計網絡安全嚴重影響了企業的發展，個人學習、生活的便利，家庭信息隱私等。本文從網絡安全定義、影響網絡安全的原因等方面探討了Web安全漏洞以及防范措施。

關鍵詞：Web;安全漏洞;網絡安全

在互聯網大眾化和基于Web的互聯網應用飛速發展的今天，社會已逐步步入信息化，社會上的各行各業都在利用信息資源、物聯網飛速發展，物聯網技術、網絡資源已經滲入到生活的方方面面。隨著企業規模的不斷擴大，相應的網絡應用范圍也在不斷擴大，做好網絡運行維護與安全管理工作已經占據到了互聯網建設的戰略性地位。近年來網絡安全事件頻頻發生，人們對外部入侵和網絡安全日益重視，但是網絡的攻擊、Web安全漏洞也在近幾年來頻繁發生，網絡安全漏洞也隨之成為企業管理的隱患。生產資料被非法泄露，拷貝，篡改，給企業帶來了極其重大的損失，這種事件頻頻出現。

網絡安全（Network Security）就是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、系統連續、可靠、正常地運行，網絡服務不中斷，它是一門涉及面非常廣的綜合性學科，它涉及計算機科學與技術，網絡技術，信息安全技術，通信技術，密碼技術，信息論，應用數學，軟件工程，指令保護，統計學等多種學科。它的主要特性有保密性，完整性，可控性，可用性，可審查性。網絡安全最突出的重要性在于保護用戶的隱私，控制對網絡資源的訪問，保證企業秘密在網絡上傳輸的保密性，完整性，真實性?？刂莆：ι鐣€定的言論和不健康的信息傳入社會，引起社會不安穩。

網絡安全在信息傳遞方面主要需要防止不健康軟件的攻擊，個人隱私信息額外泄，防止病毒入侵，有效保護用戶信息的私密性，有效地屏蔽掉惡意攻擊他人、危害社會穩定的言論。各企業都有其內部的殺毒軟件，這些殺毒軟件都有一個共同目標，就是其可以在各個網絡層次都能提供最佳的安全解決方案，保護用戶信息不外泄，有效保護用戶在辦公時不受到外網及內網的惡意軟件及病毒攻擊。網絡防火墻同樣也能夠有效的防止木馬入侵，保護個人資料安全性。

最常見的網絡安全漏洞主要為SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數據庫運行出錯、后臺弱口令漏洞、文件上傳漏洞等隱患。

SQL注入漏洞非常危險，屬于高危漏洞，它之所以廣泛出現在網絡中，是因為網站應用程序員在編寫程序時沒有對用戶提交到服務器的數據進行合法效驗，不但沒有過濾有效的特殊字符，而且還導致了網址服務器存在各種風險，這就形成了我們說的SQL注入漏洞。它會導致系統機密數據被黑客盜取，核心業務被有意篡改，網頁被篡改，數據庫所在的服務器被攻擊，進而導致整個內網被黑客入侵。因此，需要程序員在編寫網絡代碼中，應該對用戶輸入的數據嚴格過濾，采用SQL語句預編譯和綁定變量，且部署Web應用防火墻，實時監控數據庫操作指令。

常見的Web安全漏洞還有目錄遍歷漏洞，它屬于中危漏洞，它是一種可以獲取系統文件及服務器的配置的程序，它是通過服務器API以及文件標準權限進行攻擊的。目錄遍歷漏洞可以使攻擊者獲取服務器的文件目錄結構，進而獲取敏感文件，導致數據泄露。因此，我們需要通過修改配置文件，去除一些中間件的文件目錄索引功能，設置目錄權限，為每一個目錄創建一個空的索引頁面，從而達到加固服務器的目的。

敏感信息泄露也是我們常見的一種安全漏洞，它是由于網站后臺運維人員粗心導致的，一旦存放敏感信息的文件被泄露或者由于網站運行出錯而導致敏感信息泄露，攻擊者可以直接下載用戶的隱私信息，包括各類用戶名、密碼、以及個人隱私信息。攻擊者是通過制造一個個性化URL地質，從而觸發系統Web應用程序報錯，在返回的內容中截獲對其有用的敏感信息。黑客可以利用這些敏感信息獲取網站服務器路徑，從而可以更猛烈的攻擊，這些行為導致的后果都會給企業帶來難以估測的損失。因此，針對這些行為，我們可以對網站錯誤信息進行統一返回，模糊化處理。對一些存放敏感信息的文件進行加密存儲，防治泄露。

網絡安全對于我們的工作，生活都非常重要，和我們的衣食住行息息相關，但是我們在使用網絡時也同樣面臨著許多隱患，綜合分析影響網絡安全性的主要因素有以下幾個方面。

第一，網絡結構因素，眾所周知，網絡基本拓撲結構有星型，環型，總線型。每個企業都包括若干個子公司，每個子公司又有自己不同的企業部門，每個部門有自己的局域網，他們所采用的的拓撲結構也不可能完全一樣，在建造和維護內網時，我們應該盡可能實現異構網絡間的信息通信，這就為我們提出了更高的網絡開放性要求。

第二，網絡地域因素。各企業的內部網有可能是局域網，也有可能是廣域網，可以跨城際，也可以跨國際，這其中所涉及的地域位置比較復雜，所以它們之間的通信質量也就難以確認完好，在信息的傳送過程中必定會造成部分信息的損失或者損壞，影響遠距離的通信質量，讓一些黑客有機可乘。

第三，網絡使用者自身因素。每個企業都有自己的內網，企業建立內網是為了方便員工的使用，加快信息的傳遞，提高工作效率。但是隨著企業的擴大，企業的員工，客戶也會相應地增加，這些對于網絡來說就是使用者即用戶的增加，這必然會給網絡的安全性帶來一定的威脅，因為這其中就有可能會有黑客，它必然會竊取企業的信息及機密。因此，用戶在使用電腦時，應該設置稍微復雜的開機口令，在使用網絡時注意減少進入與工作不相關網頁的次數，對隱私文件要設置加密，這些基本的常識能有效的保護信息安全。

第四，網絡主機因素。在建立內往后，由于企業的需求和使用網絡量大，原來的局域網必然不能滿足日益擴大的企業的需求，這就會增加一些譬如服務器，中型機，小型機，工作站等。這就會造成若干個操作系統的不同，這其中任意一臺主機有操作系統漏洞都會導致整個網絡的癱瘓。所以，需要我們全面規劃網絡平臺的安全策略，使用防火墻，使用有效的殺毒軟件，同時也要注意到網絡設備的無力保護。

經過多次實踐證明，大部分的網絡安全問題都是由網絡內部引起的，因此企業應該對自己企業的內網安全性高度重視，一定要制定出相關的網絡管理制度，并有專人管理監督，這就需要我們有專門的網絡管理員，專門的網絡安全員。要培養專門的網絡管理員，專門的網絡安全員，而且要求網絡程序員編程嚴密，符合國際主流的協議規定，這就要求企業首先要選拔具有計算機基礎知識，尤其是具有網絡安全知識的專業技術人員，再對他們進行專業的網絡安全學習，網絡安全教育，網絡安全培訓，培養出高技術人才從事網絡安全管理工作，這樣能有效提高企業的網絡使用安全。

因此，先進的技術手段，能夠有效地防護信息安全，譬如殺毒軟件，防火墻，但是網絡自身的隱患無法根除，這就要求我們作為信息安全的維護人員，應該養成良好的程序編寫習慣，提高網絡安全意識，建立好網絡管理制度、方法，增強日常網絡管理、維護。有效防止病毒及黑客的入侵。