江衛(wèi)星,許學軍,張 翼,李汝光

(鎮(zhèn)江高等專科學校,江蘇鎮(zhèn)江212003)

Web架構是指采用B/S模式、通過http/https協(xié)議提供服務的統(tǒng)稱,越來越多的應用程序遷移到了Web架構.高校網(wǎng)站已從一個簡單的信息發(fā)布、展示平臺Web架構,發(fā)展到匯集了招生就業(yè)、教務管理、遠程教育、學生綜合測評、圖書檢索等綜合性Web架構平臺,所面向的用戶群也越來越廣,所承載的Web應用服務也越來越多,高校教務工作對信息系統(tǒng)依賴程度越來越高.高校注重Web應用系統(tǒng)建設,但在系統(tǒng)安全保障的建設上出現(xiàn)了滯后,網(wǎng)站掛馬、網(wǎng)頁篡改、DDo S攻擊等攻擊事件呈逐年上升的趨勢,近幾年修改考試成績、騙取證書等事件也時有發(fā)生,勢必給高校聲譽造成影響.高校網(wǎng)站已經(jīng)逐漸成為黑客關注的重點目標,安全保障工作迫在眉睫,保障高校網(wǎng)站安全,關鍵要靠人、技術、管理三者的有機結合[4],本文從技術角度著力構建高校安全的Web架構.

1 Web架構原理

Web服務的一般性結構圖如圖1所示：

從上圖可以看出,高校Web架構服務器上有兩種服務數(shù)據(jù)要保證安全,一是Web服務頁面文件;二是后臺數(shù)據(jù)庫,其中存放的數(shù)據(jù)[2].

圖1 Web系統(tǒng)一般結構圖

2 WEB攻擊

2.1 WEB攻擊目的

入侵者入侵高校 Web系統(tǒng),其攻擊目的性十分明確,在于以下幾個方面：

①癱瘓網(wǎng)站,中斷服務：使用DDOS攻擊都可以讓網(wǎng)站癱瘓,但對Web服務內部沒有損害,一般來說,這種做法是入侵者索要金錢或惡意競爭的要挾,也可能是顯示他的技術高超[3].

②篡改網(wǎng)頁：修改高校網(wǎng)站頁面顯示,公眾容易發(fā)現(xiàn)攻擊效果,嚴重地影響高校形象,對于攻擊者來說,主要是炫耀自己,如某參加高考學生想進入某高校計算機學院學習,為了顯示自己能力,攻擊該高校計算機學院,篡改了網(wǎng)頁.

③掛木馬：這種入侵對高校網(wǎng)站本身不產(chǎn)生直接破壞,而是針對訪問該網(wǎng)站的用戶,用戶訪問該網(wǎng)站后遭受攻擊.據(jù)360專家說,正是考生關注高校招生信息時期,2010年5月14日一天之內,全國128所高校被集體掛馬,其中不乏知名大學,這一數(shù)字已經(jīng)超過高校2009年全年掛馬數(shù).黑客在網(wǎng)頁上所掛的木馬一般多為木馬下載器,一旦進駐用戶電腦,便會源源不斷地下載時下流行的木馬,從而竊取用戶數(shù)據(jù)或控制計算機.

④篡改數(shù)據(jù)：篡改網(wǎng)站數(shù)據(jù)庫,或者是動態(tài)頁面的控制程序,表面上沒有什么變化,很不容易發(fā)覺,數(shù)據(jù)篡改的危害是難以估量的,比如：修改考試成績、騙取畢業(yè)證書、盜取考生信息等事件時有發(fā)生.

2.2 WEB攻擊手段

Web系統(tǒng)除了Web服務器外,還有很多服務器需要保護,如中間件服務器、數(shù)據(jù)庫服務器等.高校Web服務遭受攻擊的主要因素為四類：

①服務器系統(tǒng)漏洞：Web服務器網(wǎng)絡操作系統(tǒng)無論是Windows系統(tǒng),還是Linux/Unix,系統(tǒng)自身都存在漏洞,入侵者通過這些漏洞入侵,能獲得服務器的高級權限,就可以對服務器上運行的Web服務隨意控制了.利用WEB服務器的漏洞進行攻擊常見有CGI、緩沖區(qū)溢出、目錄遍歷漏洞等.

②Web應用程序漏洞：很多高校特別關注系統(tǒng)級的軟件漏洞,實際上Web應用軟件的漏洞也必須重視,目前高校Web安全現(xiàn)狀如圖2所示,安全和花費是不平衡的,75%信息安全攻擊來自Web應用層次的攻擊,并且2/3 Web應用是不安全的,而Web應用防護的投資嚴重不足,只占防護投資10%.Web應用安全應引起高度重視,將具體分析Web應用的安全問題.

③DDOS攻擊：高校網(wǎng)站硬件性能明顯提高,Do S的攻擊很難湊效.DDo S利用更多的傀儡機來發(fā)起進攻,比Do S更大規(guī)模地進攻,造成高校網(wǎng)站拒絕服務,網(wǎng)絡癱瘓.

④密碼暴力破解：一般來說帳號容易獲得,剩下就是猜測密碼了,如果密碼設置簡單,很容易猜測出密碼,尤其是遠程管理者的密碼,破壞程度難以想象,而且不容易被發(fā)覺.為了避免暴力破解,Web系統(tǒng)開發(fā)時應在注冊界面應有驗證碼,增加計算機自動識別圖片驗證碼的難度,并且限制密碼猜測的次數(shù)等其它的安全策略.

3 WEB應用系統(tǒng)安全

有些高校的Web應用程序開發(fā)人員編程不規(guī)范、安全意識不強、有時開發(fā)時間緊張而簡化測試等,造成很多應用程序的安全漏洞,入侵者通過這些漏洞來去自如,給Web應用系統(tǒng)帶來了巨大的安全隱患.Web應用程序的安全漏洞最常見的是繞過客戶端輸入用戶驗證[1],如篡改隱藏表單域、SQL注入、跨站腳本攻擊等.

3.1 表單隱藏域篡改

HTML表單是應用層的安全隱患,WEB應用的設計者總信任用戶在 HTML表單格式限定內的輸入是良好的、無惡意的數(shù)據(jù),HTTP協(xié)議的無狀態(tài)使得設計者需要管理多次 HTTP請求間的應用狀態(tài),通過使用HTTP表單的隱藏域可以把一系列的請求/響應串起來,比通過使用后端的數(shù)據(jù)庫的方法要容易.可是這樣使用隱藏域就使得客戶端可以修改應用的狀態(tài),例如：目前不需要特殊技巧實現(xiàn)對有些高校WEB站點的攻擊,攻擊者可以把HTML表單存到本地磁盤,然后用文本編輯器改變隱藏在表單中隱藏域的成績數(shù)據(jù)或其它數(shù)據(jù),再把修改了的HTML表單裝入瀏覽器發(fā)送回了WEB服務器,入侵者達到了修改的目的.

3.2 SQL注入攻擊

3.2.1 概念

SQL注入是指用戶使用正常的 Web端口訪問,并沒有繞過 HTTP/HTTPS協(xié)議,通過在瀏覽器地址欄或Web表單的輸入欄提交數(shù)據(jù)庫查詢代碼,根據(jù)網(wǎng)站響應程序而返回的結果,獲得某些想要的數(shù)據(jù),如數(shù)據(jù)庫名、表名、字段名等敏感數(shù)據(jù),尤其是應用系統(tǒng)管理員賬號、密碼,進而獲取對應用系統(tǒng)的控制操作權限.表面看來和正常的Web訪問沒有區(qū)別,防火墻一般不能主動識別,傳輸加密技術也不能防御其攻擊,SQL注入是高校Web系統(tǒng)遭受Web攻擊主要方式之一[2].

3.2.2 SQL注入攻擊的實現(xiàn)過程

SQL注入攻擊有很多種,現(xiàn)在以常見的URL查詢字符串方式和Web表單文本框提交為例來分析SQL注入攻擊[5].

3.2.3 Web表單文本框提交方式

高校網(wǎng)站使用大量Web表單,其中文本框的使用頻率很高,如果程序未過濾文本框輸入或對提交的數(shù)據(jù)未進行分析處理等,則很可能被攻擊者利用,危害高校網(wǎng)站安全.假設Web程序中存在user表,其表內包含 username和password字段[1].則有：

(1)身份驗證模塊中查詢user表常用的兩個典型SQL語句.

①select ＊ from user——返回記錄內容, ②select count(＊)from user——返回記錄數(shù)

(2)在 Web應用程序的登錄頁面中,允許用戶在表單里輸入用戶名(username)和密碼(password)兩個參數(shù),并進行登錄身份驗證.假設登錄用戶名為zhang,密碼為today.則上述 SQL語句將變?yōu)椋?/p>

①select＊ from user where username=’zhang’and password=’today’

②select count(＊)from user where username=’zhang’and password=’today’

正常情況下,第①條SQL查詢,如果返回一條用戶記錄則說明用戶身份驗證成功;反之,則說明用戶身份驗證失敗.第②條SQL查詢,如果返回用戶記錄數(shù)量為1,則說明身份驗證成功;返回值為0或＞1,則說明身份驗證失敗.

(3)如果分別在username和password兩個表單里分別輸入’zhang’or 1=1—和’tomorrow’值,則上述SQL語句就會變?yōu)椋?/p>

①select＊from user where username=’zhang’or 1=1--and password=’tomorrow’

語句①中有兩個判斷條件,只要其中一個為真,則身份驗證就會成功,而1=1恒為真.

②select count(＊)from users where username=’zhang’or 1=1--and password=’tomorrow’同理,該語句中只要能確定用戶名已知,則身份驗證就會成功.3.2.4 URL查詢字符串方式

很多高校網(wǎng)站頁面通過GET方式傳值來執(zhí)行,URL典型注入方式就是在地址欄后面拼接SQL語句,通過查看程序執(zhí)行結果來判斷注入是否有效,并獲取入侵者需要的信息.

我們假設某高校網(wǎng)站沒有防SQL注入措施,其某頁為：

http：//www._＊＊＊.edu.cn/article.asp?id=233 id為正常參數(shù)名,233為程序頁接受的參數(shù)值,如攻擊者輸入：

①http：//www._＊ ＊ ＊.edu.cn/article.asp?id=233 and 1=1

②http：//www.＊ ＊ ＊.edu.cn/article.asp?id=233 and 1=2

此時頁面很可能將分別執(zhí)行以下SQL語句 ：select字段集合from表名where id=233 and 1=1;select字段集合from表名where id=223 and 1=2

則①會正常顯示,②會顯示異常或提示錯誤,攻擊者可據(jù)此判斷該網(wǎng)站存在SQL注入漏洞.下一步,攻擊者輸入：http：//www.＊＊＊.edu.cn/article.asp?id=233 and user＞0

通過提示信息中數(shù)據(jù)庫引擎關鍵字,則可判斷網(wǎng)站數(shù)據(jù)庫類型,如Jet一般為 Access數(shù)據(jù)庫,OL EDB一般為SQL Server數(shù)據(jù)庫.除此之外,還可通過猜測系統(tǒng)表的方式構建SQL語句,來確定數(shù)據(jù)庫類型.同樣,攻擊者輸入 ：

http：//www.＊ ＊ ＊.edu.cn/article.asp?id=233 and(select count(＊)from admin) ＞0如頁面正常顯示,表示構建的SQL語句被正確執(zhí)行,也即數(shù)據(jù)庫中存在表名admin,輸入 ：

http：//www._＊＊＊.edu.cn/article.asp?id=233 and(select count(username)from admin)＞0如頁面同樣正常顯示,則表admin中存在 username字段.如頁面提示出錯,可重新拼接后嘗試,以猜測表名和字段名.得到管理員表名、字段名,便可通過使用SQL語句,查詢出用戶名密碼長度、指定位字符值等.進而獲取管理員賬號、密碼.獲取網(wǎng)站后臺管理員權限后,上傳木馬,甚至備份數(shù)據(jù)庫到本地進行分析,以獲取更多感興趣內容.

3.3 直接進入需要訪問權限的界面

一些需要訪問權限的頁面 (系統(tǒng)后臺管理界面),必須是合法的用戶才能進入.但有些人通過其它途徑知道了此頁面的地址,則可直接在地址欄輸入頁面的地址,不要有效的用戶名和密碼的情況下就可以進入系統(tǒng),達到攻擊的目的.

3.4 注入預防策略

目前很多高校Web系統(tǒng)存在安全漏洞,攻擊者利用一些攻擊輔助工具,造成SQL注入攻擊事件屢見不鮮.一旦攻擊者取得網(wǎng)站后臺管理權限,便可以利用后臺管理系統(tǒng)篡改網(wǎng)站信息,掛載木馬,修改數(shù)據(jù)庫信息等;如果數(shù)據(jù)庫權限被攻擊者獲得,攻擊者可隨意修改甚至刪除數(shù)據(jù)庫結構和數(shù)據(jù),利用數(shù)據(jù)庫信息,訪問服務器資源,修改服務器配置,甚至完全控制服務器的目的.SQL攻擊方法是多種多樣的,危害極大.在開發(fā)Web應用程序如ASP程序時,在有必要的頁面開始處加上如下代碼,可以防止繞過用戶驗證,具體方法如下：方法一：

利用seesion對象來驗證登錄者身份信息,cookies對象可以偽造,而seesion無法偽造,除非偽造者擁有服務器權限.

＜ %if session(“username”)= ““or session(“password”)=””then

response.write“＜SCRIPT language=VBScript＞ alert(‘非法用戶不能訪問此頁面’)”

response.redirect“登錄界面地址”

Endif%＞

方法二：

＜%dim From_url,Serv_url

From_url=Cstr(Request.Server Variables(“HTTP_REFERER”))

Serv_url=Cstr(Request.Server Variables(“SERVER_NAME”))

if mid(From_url,8,len(Serv_url))＜＞Serv_url then

response.write“非法用戶不能訪問此頁面”

response.redirect(“登錄界面地址”)

response.end

end if%＞

(說明：上述的兩種方法只要沒有正確用戶名和密碼的非法用戶注入就給出警告信息,并跳轉到“登錄界面地址”)經(jīng)過實踐測試,該程序段能實現(xiàn)對用戶登錄狀態(tài)的跟蹤,防止了注入,一定程度上提高了web應用安全性.事實上,隨著信息技術的高速發(fā)展以及廣泛應用,為保護敏感數(shù)據(jù)信息,Web應用程序安全應成為網(wǎng)絡系統(tǒng)安全的一個非常重要的研究領域.高校Web應用軟件在整個開發(fā)周期過程中都應引入安全機制[5],安全漏洞的預防在Web應用程序的設計、開發(fā)、測試和運行階段都要嚴格考慮,制定編碼規(guī)范、注意非法輸入檢查以及避免溢出漏洞,利用Nikto和Paros proxy等商用或開源安全性評估測試軟件對代碼和數(shù)據(jù)庫的安全性進行科學地測試評估,編寫出更加安全的Web應用程序代碼,盡力地保障高校Web應用系統(tǒng)安全.

圖2 Web入侵防御體系

4 Web入侵防御體系

即使高校開發(fā)出一個高度安全的Web應用程序而高校服務器系統(tǒng)不安全,那么入侵者進入服務器系統(tǒng)后任何應用程序就由入侵者控制;相反,無論高校網(wǎng)絡系統(tǒng)如何安全,網(wǎng)絡管理員如何精良,如果應用程序存在安全缺陷,攻擊者總能得手.Web應用程序或服務器系統(tǒng)通過安全掃描檢測沒有發(fā)現(xiàn)漏洞并不表示W(wǎng)eb站點沒有任何安全問題,因為任何Web安全評估工具不可能做到零誤報率和零漏報率,甚至評估工具之間還有相互矛盾的掃描結果[6].

安全是個大舞臺,Web應用程序安全對于安全的web服務來說是遠遠不夠的,需要一套硬件和軟件網(wǎng)絡系統(tǒng),并進行策略設置,構建縱深的Web入侵防御體系,如圖2所示：

(1)web服務器系統(tǒng)安全設置：合理設置并管理好賬號和密碼,不安裝或禁用不用的協(xié)議和服務,關閉不必要的端口,最好關閉所有共享,使用最新版本W(wǎng)eb服務器軟件并正確設置Web服務器,經(jīng)常使用安全分析器如MBSA(Microsoft基準安全分析器)等掃描軟件,發(fā)現(xiàn)問題及時采取相應的防范措施,如及時安裝最新操作系統(tǒng)補丁程序.

(2)硬件/軟件防火墻和入侵檢測系統(tǒng) (IDS)：防火墻屬于靜態(tài)安全技術,需要人工來實施和維護,不能主動跟蹤入侵者,防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入,有效地保證網(wǎng)絡安全,但是防火墻系統(tǒng)不能動態(tài)地擴展其對新協(xié)議和新服務的支持,很難提供個性化的服務;入侵檢測系統(tǒng)屬于動態(tài)安全技術,能從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象,對防范網(wǎng)絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網(wǎng)絡系統(tǒng)受到危害之前攔截入侵.IDS被公認是防火墻之后的第二道安全閘門,入侵檢測技術彌補了單純的防火墻技術暴露出明顯的不足和弱點,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段,使防御系統(tǒng)更加堅固.防護墻有硬件和軟件產(chǎn)品,產(chǎn)品種類多,根據(jù)需要進行選擇;IDS的主要產(chǎn)品有Cisco公司的Net Ranger、紫光網(wǎng)絡的UnisIDS等.

(3)網(wǎng)頁防篡改產(chǎn)品：網(wǎng)頁防篡改產(chǎn)品是對Web服務器上的頁面文件進行監(jiān)控,公眾每次訪問網(wǎng)頁時,都將網(wǎng)頁內容與數(shù)字水印進行對比,一旦發(fā)現(xiàn)網(wǎng)頁被非法修改,立即進行自動恢復,保證非法網(wǎng)頁內容不被公眾瀏覽,完全實時地杜絕篡改后的網(wǎng)頁被訪問的可能性,符合策略標準阻止針對Web服務的SQL注入、XML注入攻擊,如國產(chǎn)系統(tǒng)Web Guard、i Guard、Infor Guard等產(chǎn)品.

(4)安裝Web應用程序防火墻 (WAF)：Web防火墻主要是對Web服務特有入侵方式加強防護,如DDOS、SQL注入、XML注入、XSS等防護,重點是防護SQL注入,所以也有人稱為SQL防火墻.由于是應用層而非網(wǎng)絡層的入侵,從技術角度來說應該稱為Web IPS,而不是Web防火墻.這里之所以叫做Web防火墻,是業(yè)界流行的稱呼而已.Web防火墻的主要產(chǎn)品有Imperva公司的WAF產(chǎn)品,Netcontinuum(梭子魚)公司的WAF.

(5)系統(tǒng)日志管理：系統(tǒng)日志可以用來進行訪問分析、歷史安全監(jiān)察、歷史運行狀況監(jiān)控等,處理網(wǎng)絡系統(tǒng)緊急事務的關鍵之一就是利用日志分析工具軟件如Webalizer分析系統(tǒng)的日志數(shù)據(jù)已成為系統(tǒng)管理員評估系統(tǒng)運行狀況和及時發(fā)現(xiàn)入侵者入侵行為的重要手段,加強系統(tǒng)日志安全管理對維護網(wǎng)站的安全有著十分重要的意義.

(6)建立應急響應方案：服務器系統(tǒng)也會發(fā)生故障,服務器系統(tǒng)的故障多種多樣,包括磁盤故障、電源故障、軟件故障、災害故障、病毒和黑客入侵以及人為破壞等.為了應對突發(fā)事件,保證網(wǎng)站程序和數(shù)據(jù)的安全,需制定突發(fā)事件響應措施和數(shù)據(jù)備份策略[7].①制定有效的網(wǎng)站程序安全策略和數(shù)據(jù)備份策略,要在本地和異地的不同的存貯介質上定期進行數(shù)據(jù)備份,出現(xiàn)突發(fā)事件可以利用備份技術、事務日志技術、鏡像技術來完成數(shù)據(jù)恢復.②成立緊急事件響應小組,制定入侵檢測方案,快速有效地識別攻擊類型,最大限度地阻止攻擊,保證網(wǎng)絡系統(tǒng)正常運行.

5 結束語

高校Web架構沒有持久的安全,只有不斷地完善,Web安全保障工作是一個艱巨而復雜的工程.工欲善其事、必先利其器,只有充分地利用網(wǎng)絡安全產(chǎn)品,多層面、多角度地研究如何有效地抑制Web安全事故,并且不斷地更新安全措施和技術手段,才有可能保證高校Web服務安全可靠地運行.

[1] 周益宏,陳建勛.淺析基于ASP.NET的網(wǎng)站SQL注入攻擊及防范措施 [J].計算機安全,2010,(06)：93-95

[2] 王云,郭外萍,陳承歡.Web項目中的SQL注入問題研究與防范方法 [J].計算機工程與設計,2010, (31)：976-1016

[3] 王利青,羅靜.B/S架構應用程序安全問題研究 [J].河北北方學院學報,2007,23,(05)：50-52

[4] 江衛(wèi)星.基于VLAN的Intranet網(wǎng)絡安全策略 [J].網(wǎng)絡安全技術與應用,2009,(11)：17-19

[5] 朱輝,沈明星,李善平.Web應用中代碼注入漏洞的測試方法 [J].計算機工程,2010,36(10)：173-178

[6] 彭玉忠,王金才,郝榮霞.WEB應用系統(tǒng)安全分析與設計 [J].計算機安全,2008,(09)：45-47

[7] 張元金.ASP動態(tài)網(wǎng)站的安全保護機制研究 [J].網(wǎng)絡安全技術與應用,2007,(08)：76-77