◆馬顏軍

（遼寧警察學(xué)院公安信息系 遼寧 116036）

Web的安全威脅與安全防護(hù)

◆馬顏軍

（遼寧警察學(xué)院公安信息系 遼寧 116036）

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，Web應(yīng)用滲入到每個人的日常生活中，Web的安全形勢也日益嚴(yán)峻。本文闡述了當(dāng)前Web所面臨的安全威脅，從操作系統(tǒng)漏洞威脅、應(yīng)用軟件漏洞威脅兩個方面進(jìn)行了分析，并對常見Web安全威脅提出了相應(yīng)的安全防護(hù)建議。

Web安全；安全威脅；安全防護(hù)

0 引言

近年來，隨著移動互聯(lián)網(wǎng)的快速發(fā)展，使得企業(yè)的業(yè)務(wù)需求越來越多。基于Web的應(yīng)用程序大量開發(fā)，如網(wǎng)上購物平臺、互聯(lián)網(wǎng)購票系統(tǒng)，網(wǎng)上銀行，網(wǎng)絡(luò)郵箱，網(wǎng)絡(luò)游戲等等。

當(dāng)前互聯(lián)網(wǎng)中最重要的資源程序和數(shù)據(jù)幾乎都與Web服務(wù)有關(guān)，伴隨Web廣泛應(yīng)用，Web應(yīng)用程序和數(shù)據(jù)已經(jīng)成為黑客攻擊的頭號目標(biāo)[1]。針對 Web的攻擊與破壞事件層出不窮，給人們的生活和經(jīng)濟(jì)造成嚴(yán)重威脅，Web安全問題已引起人們的極大重視。

Web是互聯(lián)網(wǎng)的核心，是云計算和移動互聯(lián)網(wǎng)的最佳載體，所以確保Web安全尤為重要。本文對Web相關(guān)應(yīng)用的安全威脅進(jìn)行了分析，并以相關(guān)漏洞為例，提出了相應(yīng)的防護(hù)措施。

1 Web的安全威脅

Web安全威脅種類繁多，主要有針對操作系統(tǒng)的安全威脅，針對數(shù)據(jù)庫的安全威脅，還有針對Web應(yīng)用程序的安全威脅。常見的幾種Web安全威脅有基于操作系統(tǒng)本身的計算機(jī)病毒、后門程序等，還有以Web應(yīng)用程序進(jìn)行攻擊的SQL注入攻擊、XSS攻擊、文件上傳漏洞、網(wǎng)頁木馬等安全威脅。

1.1 操作系統(tǒng)漏洞威脅

后門程序、計算機(jī)病毒是對操作系統(tǒng)安全威脅最為常見的威脅。

（1）后門程序

后門程序一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計中的缺陷。攻擊者往往就是利用程序員在編寫軟件留有后門的習(xí)慣，運(yùn)用特殊手段找到后門程序的接口，從而使系統(tǒng)面臨安全威脅。

后門能夠相互關(guān)聯(lián)，黑客經(jīng)常會對系統(tǒng)的配置文件進(jìn)行修改提高權(quán)限或安裝木馬程序，使系統(tǒng)打開一個安全漏洞，便于黑客完全掌握系統(tǒng)。

后門有很多不同的分類方式，從技術(shù)角度可以將后門程序分為網(wǎng)頁后門、擴(kuò)展后門、C/S后門、賬號后門等。

（2）計算機(jī)病毒

根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，病毒的明確定義是指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。

計算機(jī)病毒具有隱蔽性，破壞性，潛伏性，傳染性等特征。計算機(jī)病毒其實(shí)就是一段程序或代碼。大多數(shù)計算機(jī)病毒能夠進(jìn)行自我復(fù)制，通過自我的不斷復(fù)制來影響計算機(jī)系統(tǒng)的穩(wěn)定性并可以通過病毒感染計算機(jī)竊取用戶大量隱私信息。

常見的計算機(jī)病毒有：CIH 病毒、蠕蟲病毒、QQ傳送者、特洛伊木馬、腳本病毒等。腳本病毒是一種常見的攻擊Web的一種病毒，主要采用腳本語言編寫，它可以對系統(tǒng)進(jìn)行操作，包括創(chuàng)建、修改、刪除甚至格式化硬盤。腳本病毒編寫形式靈活，容易產(chǎn)生變種，使得傳統(tǒng)的特征提取方式對其進(jìn)行檢測率較低，對未知的腳本病毒無法識別[2]。

1.2 應(yīng)用軟件的漏洞

Web應(yīng)用程序一般都會采用B/S（Browser瀏覽器端/Server服務(wù)器端）模式，其由多個Servlet、JSP頁面、HTML文件以及圖像文件等組成。瀏覽器是客戶端用戶用來與服務(wù)器交互的重要應(yīng)用程序，主要實(shí)現(xiàn)向 Web 服務(wù)器發(fā)送請求，并對 Web 服務(wù)器發(fā)送來的超文本信息和數(shù)據(jù)進(jìn)行解析和顯示。瀏覽器初期只提供HTML 靜態(tài)頁面的解析顯示，隨著腳本和插件技術(shù)的發(fā)展，為提高用戶體驗，網(wǎng)站中包含大量的動態(tài)內(nèi)容。這些功能豐富了Web頁面的顯示，但也帶來了新的安全問題。

（1）XSS攻擊

XSS英文全稱是Cross Site Script，也稱跨站腳本攻擊，為了和層疊樣式表區(qū)別開來，在安全領(lǐng)域稱其為XSS。XSS攻擊通常指攻擊者是用HTML注入技術(shù)向網(wǎng)頁插入惡意腳本，篡改網(wǎng)頁，當(dāng)用戶瀏覽已經(jīng)插入惡意腳本的網(wǎng)頁時，惡意腳本就會被執(zhí)行，從而攻擊者可以利用網(wǎng)站漏洞盜取用戶信息。

XSS攻擊的主要目的之一是獲取授權(quán)用戶的Cookie 信息，由于XSS攻擊破壞力強(qiáng)，產(chǎn)生的場景也比較復(fù)雜，XSS攻擊長期以來一直被列為客戶端Web安全的頭號威脅。XSS攻擊通常有兩種方式[3，4]：

持久性攻擊：攻擊者將惡意代碼存儲在與Web應(yīng)用程序交互的數(shù)據(jù)庫中，當(dāng)用戶訪問請求動態(tài)頁面時，Web應(yīng)用程序從數(shù)據(jù)庫中返回惡意的Javascript代碼給用戶。用戶瀏覽器執(zhí)行該腳本后，將用戶的Cookie發(fā)送給攻擊者控制的服務(wù)器。

反射攻擊：這種方式下，攻擊的腳本沒有存儲在服務(wù)器端，而是在攻擊過程中反射給用戶。它通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的統(tǒng)一資源定位符（URL，Uniform Resource Locator），當(dāng)URL地址被打開時，特有的惡意代碼參數(shù)被HTML解析執(zhí)行。其攻擊特點(diǎn)是非持久化，必須用戶點(diǎn)擊帶有特定參數(shù)的鏈接才能引起。

（2）SQL注入攻擊

SQL注入攻擊利用服務(wù)器端代碼自身存在的漏洞進(jìn)行攻擊，攻擊的目標(biāo)通過Web客戶端代碼對Web服務(wù)器連接的數(shù)據(jù)庫后端進(jìn)行攻擊。通過這種方式攻擊者往往可以逃避現(xiàn)存的大部分安全防護(hù)機(jī)制，而直接通過竊取的權(quán)限達(dá)到對非授權(quán)數(shù)據(jù)非法訪問的目的[1]。

SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。SQL攻擊方法有很多，攻擊者可以根據(jù)數(shù)據(jù)庫的類型和漏洞來針對性地選擇攻擊方法。SQL注入攻擊一般步驟：①發(fā)現(xiàn)SQL注入點(diǎn)；②構(gòu)造注入語句判斷后臺數(shù)據(jù)庫類型；③猜解數(shù)據(jù)庫，獲得管理員權(quán)限；④確定Web虛擬目錄，上傳木馬控制整個網(wǎng)站。

2 Web的安全防護(hù)策略

用戶在了解Web安全威脅方面的知識后，采取必要的防御措施，在很大程度上可以杜絕Web安全事件的發(fā)生。以下介紹幾種防御措施。

（1）做好操作系統(tǒng)安全防護(hù)，使用正版的操作系統(tǒng)，并及時更新系統(tǒng)補(bǔ)?。蛔钚』瓌t，用戶根據(jù)需要，設(shè)置合理的權(quán)限，盡量開放最少的服務(wù)；安裝應(yīng)用軟件時，注意辨別軟件需要調(diào)用的權(quán)限，不要輕易提升權(quán)限。

（2）數(shù)據(jù)庫安全防護(hù)，使用密文存儲數(shù)據(jù)庫中的數(shù)據(jù)，定期檢查數(shù)據(jù)庫是否存在漏洞，設(shè)置安全管理賬戶，定期對重要的數(shù)據(jù)進(jìn)行備份。

（3）跨站腳本防范，將要置于HTML上下文的所有的不可信數(shù)據(jù)進(jìn)行相應(yīng)的轉(zhuǎn)義；驗證所有輸入數(shù)據(jù)，有效檢測攻擊；對所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成功注入的腳本在瀏覽器端運(yùn)行；在瀏覽器設(shè)置中關(guān)閉JavaScript，并將安全級別設(shè)置到“高”。

（4）SQL注入防護(hù)，使用參數(shù)化的過濾性語句，用戶的輸入不能直接被嵌入到SQL語句中；檢查數(shù)據(jù)類型，對數(shù)據(jù)庫表中數(shù)據(jù)進(jìn)行數(shù)據(jù)類型限制，這樣會在很大程度上減少攻擊。

（5）加強(qiáng)Web服務(wù)器的安全設(shè)置。正確使用Web服務(wù)器的安全設(shè)置策略，能夠有效減少服務(wù)器的安全隱患，確保Web服務(wù)器安全。一般可以從用戶名和密碼的安全設(shè)置、BIOS的安全設(shè)置、使用SSL通信協(xié)議、隱藏系統(tǒng)信息、啟用日志記錄功能以及設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限等。

（6）安裝知名度高的安全產(chǎn)品，并及時更新。選擇一款專業(yè)的安全軟件，可檢測出系統(tǒng)存在的安全隱患，有效抵御Web安全威脅。如天融信安全管理平臺TopAnalyzer遠(yuǎn)程監(jiān)測服務(wù)，可以實(shí)現(xiàn)網(wǎng)站安全掛馬監(jiān)控、網(wǎng)站安全漏洞監(jiān)控、網(wǎng)站安全內(nèi)容監(jiān)、網(wǎng)站安全狀態(tài)監(jiān)控等功能。

3 結(jié)束語

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們生活越來越離不開網(wǎng)絡(luò)，在享受互聯(lián)網(wǎng)帶來便捷的同時也面臨著許多Web安全威脅。本文從后門程序、計算機(jī)病毒、XSS攻擊、SQL注入攻擊等方面對Web安全進(jìn)行了簡要分析，并給出了應(yīng)對的防護(hù)措施，希望能對不同的用戶提供參考。

[1]龍興剛．Web應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J]．通信技術(shù)，2013．

[2]王繼林，蘇萬力．信息安全導(dǎo)論（第二版）．西安電子科技大學(xué)出版社，2015．

[3]吳翰清．白帽子講 Web 安全[M]．北京：電子工業(yè)出版社，2012．

[4]羅云庚．瀏覽器安全技術(shù)研究[J]．計算機(jī)與現(xiàn)代化，2004．