高校Web應(yīng)用開發(fā)面臨的安全隱患及應(yīng)對(duì)策略的研究

姜家濤

(1.貴州師范大學(xué)貴州省信息與計(jì)算科學(xué)重點(diǎn)實(shí)驗(yàn)室,貴州貴陽 550001;2.貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,貴州貴陽 550001)

0 引言

高校信息中心作為信息管理和服務(wù)部門，經(jīng)常遇到師生就業(yè)務(wù)工作提出各種快速開發(fā)應(yīng)用需求，期待信息部門能夠提供個(gè)性化需求，快速開發(fā)服務(wù)支持。除了采購集成商提供的大型軟件平臺(tái)，信息中心必須具有一定研發(fā)能力，能夠靈活地開發(fā)一些微小的輕應(yīng)用程序。作為非專業(yè)的開發(fā)者，高校信息部門程序開發(fā)者往往過于關(guān)注業(yè)務(wù)功能而忽略安全隱患，如跨站請求偽造攻擊、開放式重定向攻擊、跨站腳本攻擊和網(wǎng)站頁面篡改等。隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人隱私信息保護(hù)法的出臺(tái)，Web應(yīng)用安全成為閉環(huán)中最重要一個(gè)環(huán)節(jié)，是保障Web服務(wù)和數(shù)據(jù)安全的必須工作。為了解決Web應(yīng)用中可能存在的安全問題，文章梳理了開發(fā)中各種安全隱患點(diǎn)，深入研究其攻擊方式，并提出相應(yīng)安全應(yīng)對(duì)策略，然后結(jié)合AspnetCore開發(fā)平臺(tái)實(shí)現(xiàn)策略方法，最后分析了某高校網(wǎng)站受到的安全攻擊狀態(tài)，并展示應(yīng)用了提出的安全策略后防護(hù)結(jié)果。

1 Web身份驗(yàn)證

Web應(yīng)用保護(hù)受限制資源基于訪問控制策略[1-2]，其中身份驗(yàn)證攜帶憑據(jù)實(shí)現(xiàn)方式主要包括Cookie 身份驗(yàn)證和令牌身份驗(yàn)證，身份憑據(jù)是安全攻擊主要關(guān)注點(diǎn)，不同身份驗(yàn)證方式可能引發(fā)不同安全隱患。

1.1 Cookie身份驗(yàn)證

Cookie 身份驗(yàn)證[3]指當(dāng)用戶使用用戶名和密碼進(jìn)行身份驗(yàn)證時(shí)，他們將獲得一個(gè)令牌，其中包含一個(gè)可用于身份驗(yàn)證和授權(quán)的驗(yàn)證票證。令牌存儲(chǔ)為Cookie，隨客戶端發(fā)出的每個(gè)請求一起發(fā)送。生成并驗(yàn)證Cookie是否有Cookie身份驗(yàn)證中間件執(zhí)行，中間件將用戶主體序列化為加密的Cookie。后續(xù)請求中，中間件將驗(yàn)證Cookie，重新創(chuàng)建主體并將該主體分配填充到User屬性。

1.2 基于令牌身份驗(yàn)證

令牌身份驗(yàn)證[4]常用作App 和H5 客戶端身份驗(yàn)證。當(dāng)用戶通過身份驗(yàn)證時(shí)，他們將獲得一個(gè)令牌。令牌包含聲明形式的用戶信息，或是將應(yīng)用指向應(yīng)用維護(hù)自我狀態(tài)的引用令牌。當(dāng)用戶嘗試訪問需要身份驗(yàn)證的資源時(shí)，令牌將以持有者令牌的形式通過額外的授權(quán)標(biāo)頭發(fā)送給應(yīng)用服務(wù)器。基于令牌身份驗(yàn)證是應(yīng)用無狀態(tài)的，后續(xù)的每個(gè)請求都必須攜帶令牌以進(jìn)行服務(wù)器驗(yàn)證。其次，令牌是未加密的，已編碼的。在服務(wù)器身份驗(yàn)證時(shí)，須對(duì)令牌進(jìn)行解碼以訪問其信息，并刷新過期日期。若在后續(xù)請求中持續(xù)需要令牌，只需將令牌存儲(chǔ)在瀏覽器的本地存儲(chǔ)中即可。值得注意的是，令牌的存儲(chǔ)方式的選擇也可能引起“跨網(wǎng)站請求偽造”安全隱患。

2 網(wǎng)站面臨的安全攻擊隱患

2.1 跨網(wǎng)站請求偽造(XSRF或CSRF)

跨網(wǎng)站請求(CSRF)[5-6]是一種針對(duì)Web 托管應(yīng)用的工具，惡意Web應(yīng)用憑此也可以影響客戶端瀏覽器與信任該瀏覽器的Web 應(yīng)用之間的交互。Web 瀏覽器會(huì)隨著對(duì)網(wǎng)站的每個(gè)請求自動(dòng)發(fā)送某些類型的身份驗(yàn)證令牌，利用用戶以前經(jīng)過身份驗(yàn)證的會(huì)話展開攻擊。

2.2 開放式重定向攻擊

開放式重定向攻擊發(fā)生場景為：當(dāng)用戶訪問需要身份驗(yàn)證的資源時(shí)，Web應(yīng)用程序會(huì)將用戶重定向到登錄頁面。重定向通常包含一個(gè)returnUrl 和querystring參數(shù)，以便用戶在登錄后可以返回到最初請求的地址。當(dāng)用戶驗(yàn)證身份通過后，網(wǎng)頁將被重新定向到請求的地址URL。由于目標(biāo)URL是在請求querystring中指定的，因此惡意用戶可能會(huì)篡改querystring。篡改querystring 中URL 參數(shù)可以將用戶重定向到外部的惡意站點(diǎn)，可能是境外賭博和黃色網(wǎng)站，甚至是釣魚網(wǎng)站，給用戶帶來巨大損失，給高校造成負(fù)面影響。

2.3 跨站腳本(XSS)攻擊

跨站腳本(XSS)[7]是一種安全漏洞，攻擊者利用此漏洞將客戶端腳本置于網(wǎng)頁中。當(dāng)其他用戶加載受影響的頁面時(shí)，攻擊者的腳本便會(huì)運(yùn)行，從而可盜取cookie和會(huì)話令牌、通過DOM操作更改網(wǎng)頁內(nèi)容或?qū)g覽器重定向到其他網(wǎng)頁。XSS 漏洞常發(fā)生在應(yīng)用程序接受用戶輸入并將它輸出到網(wǎng)頁而不進(jìn)行驗(yàn)證、編碼或轉(zhuǎn)義的情況。

2.4 網(wǎng)頁非法篡改攻擊

網(wǎng)頁非法篡改是黑客攻入系統(tǒng)，對(duì)網(wǎng)站頁面內(nèi)容進(jìn)行篡改。通常會(huì)植入后門、網(wǎng)頁掛馬、注入黑鏈暗鏈等，甚至于惡意宣揚(yáng)政治意識(shí)形態(tài)和宗教信仰信息，這對(duì)于高校、事業(yè)單位影響尤其惡劣。

網(wǎng)頁非法篡改主要有以下形式[8]：

1)Web Shell 攻擊：通過上傳木馬、植入后門文件等方式獲取服務(wù)器權(quán)限，上傳修改篡改網(wǎng)頁。

2) SQL 注入：利用SQL 語句漏洞篡改數(shù)據(jù)庫，對(duì)動(dòng)態(tài)網(wǎng)頁數(shù)據(jù)非法修改。

3) 利用軟件或操作系統(tǒng)漏洞：通過漏洞獲得權(quán)限，達(dá)到上傳篡改網(wǎng)頁目標(biāo)。

3 Web應(yīng)用安全策略及實(shí)現(xiàn)

針對(duì)以上Web應(yīng)用存在的安全攻擊隱患，文章設(shè)計(jì)了啟用HTTPS、Web 訪問控制（驗(yàn)證授權(quán)機(jī)制）、防跨站請求偽造攻擊、防跨站腳本攻擊、防開放式重定向攻擊和防網(wǎng)頁非法篡改策略，并基于AspnetCore Web 應(yīng)用開發(fā)平臺(tái)實(shí)現(xiàn)，保證Web 應(yīng)用的基本安全。圖1為Web 應(yīng)用開發(fā)安全防護(hù)架構(gòu)。

圖1 Web應(yīng)用開發(fā)的安全防護(hù)架構(gòu)

3.1 開啟HTTPS

為了保護(hù)敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的傳輸安全，Web 系統(tǒng)必須啟用安全超文本傳輸協(xié)議(Hypertext Transfer Protocol over SSL,HTTPS)[9]，即經(jīng)過SSL 加密后的HTTP。HTTPS 使用SSL 在發(fā)送方將原始數(shù)據(jù)進(jìn)行加密，然后在接收方進(jìn)行解密，加密和解密需要發(fā)送方和接收方通過交換共享密碼實(shí)現(xiàn)，數(shù)據(jù)很難被截獲和解密。HTTPS 是Internet 通信安全協(xié)議，可以保證網(wǎng)絡(luò)通信的Client/Server 之間防竊聽、防消息篡改及消息偽造的安全通信。

Web 開發(fā)中AspnetCore 平臺(tái)使用HTTPS 非常簡單：在Startup 類中配置UseHttpsRediction 中間件將HTTP請求重定向到HTTPS，配置網(wǎng)絡(luò)端口443。

3.2 阻止跨站點(diǎn)請求偽造攻擊

阻止跨站點(diǎn)請求偽造可以從用戶與Web 應(yīng)用軟件兩個(gè)方面著手。用戶可以采用以下預(yù)防措施來防范：用完Web 應(yīng)用程序后習(xí)慣退出登錄，定期清理瀏覽器cookie。但從根本上解決CSRF 漏洞要從Web 應(yīng)用開發(fā)著手，將數(shù)據(jù)保護(hù)實(shí)現(xiàn)防偽造。

3.3 阻止跨站腳本攻擊

如前所述，跨站腳本攻擊通常是客戶端網(wǎng)頁展示了不受信任的數(shù)據(jù)，簡單地嵌入在HTML元素、HTML屬性和JavaScript 中，直接地接收URL 請求傳來的數(shù)據(jù)。為了阻止跨站腳本(XSS)攻擊，在開發(fā)中應(yīng)該進(jìn)行以下工作預(yù)防避免引入XSS：

1)切勿將不受信任的數(shù)據(jù)置于HTML輸入中，除非按照后續(xù)其他方法進(jìn)行處理。不受信任的數(shù)據(jù)是指可能由攻擊者控制的任何數(shù)據(jù)、HTML窗體輸入、查詢字符串、HTTP 標(biāo)頭，甚至是源自數(shù)據(jù)庫的數(shù)據(jù)，因?yàn)榧词构粽邿o法破壞應(yīng)用程序，也可能破壞數(shù)據(jù)庫。

2)將不受信任的數(shù)據(jù)置于HTML元素中之前，確保其經(jīng)過HTML編碼。

3)將不受信任的數(shù)據(jù)置于HTML屬性中之前，確保其經(jīng)過HTML編碼。

4) 將不受信任的數(shù)據(jù)置于JavaScript 中之前，將數(shù)據(jù)置于運(yùn)行時(shí)檢索其內(nèi)容的HTML元素中。

5)將不受信任的數(shù)據(jù)置于URL 查詢字符串中之前，確保其經(jīng)過URL編碼。

3.4 阻止開放式重定向攻擊

由于開放式重定向功能由URL 攜帶不安全數(shù)據(jù)造成，在開發(fā)過程中丟棄這部分?jǐn)?shù)據(jù)，將所有用戶提供的數(shù)據(jù)視為不可信、不再利用。如果程序的確需要基于URL內(nèi)容重定向用戶頁面，也必須確保重定向的頁面是本地頁面。

3.5 Web應(yīng)用安全防護(hù)結(jié)果

表1為作者所在高校基于日志過濾器得到的部分歷史網(wǎng)絡(luò)攻擊記錄，反映了高校Web對(duì)外窗口受到安全攻擊是常態(tài)化狀況。攻擊類型很多，其中SQL注入和跨站腳本攻擊占據(jù)大部分。攻擊來源廣，既有國內(nèi)惡意攻擊，也有來自海外IP的滲透。通過在Web開發(fā)中一一實(shí)現(xiàn)上述相關(guān)安全策略，做好入侵防護(hù)，可以有效攔截滲透攻擊，保證Web應(yīng)用安全。

表1 某高校Web系統(tǒng)網(wǎng)絡(luò)入侵攻擊記錄表

4 結(jié)論

高校信息系統(tǒng)開發(fā)過程中面臨跨站請求偽造攻擊、開放式重定向攻擊、跨站腳本攻擊和網(wǎng)站頁面篡改等安全隱患，系統(tǒng)開發(fā)者不可忽視。本文梳理了Web開發(fā)過程中可能存在的安全隱患點(diǎn)，分析了Web攻擊特點(diǎn)、攻擊手段，并針對(duì)每種可能的攻擊方式，制定了相應(yīng)的安全應(yīng)對(duì)策略。最后結(jié)合AspnetCore 開發(fā)平臺(tái)對(duì)提出的方法策略進(jìn)行實(shí)踐，并在作者所在高校的網(wǎng)站中應(yīng)用測試，有效地堵住以上系統(tǒng)安全漏洞，展示了較好的效果，從開發(fā)角度保證了Web 系統(tǒng)的安全。當(dāng)然，Web 系統(tǒng)的攻擊方式形形色色，無孔不入，我們不僅要堵住攻擊，還要考慮預(yù)防，后期將考慮利用AI手段預(yù)測預(yù)警。