孟治強(qiáng)

摘要：該文分析了高校Web應(yīng)用安全威脅的主要類型，并從滲透測試和制度規(guī)程的角度提出高校Web應(yīng)用加固對(duì)策，對(duì)高校Web應(yīng)用安全工作有較強(qiáng)的指導(dǎo)意義。

關(guān)鍵詞：Web應(yīng)用；安全威脅；滲透測試

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）26-0028-02

1 概述

隨著互聯(lián)網(wǎng)的普及，基于Web 技術(shù)的網(wǎng)站及應(yīng)用越來越多，高校Web成為人們獲取信息及開展各項(xiàng)教育教學(xué)的重要途徑，Web安全也成為高校網(wǎng)絡(luò)安全工作中的重要組成部分。然而很多高校對(duì)于Web應(yīng)用的安全意識(shí)不足或技術(shù)防范不到位，導(dǎo)致一些不法分子利用系統(tǒng)或應(yīng)用漏洞對(duì)服務(wù)器實(shí)施攻擊，對(duì)校園網(wǎng)站及其他Web應(yīng)用造成了一定的影響。

2 高校Web應(yīng)用安全威脅類型

當(dāng)前高校Web應(yīng)用安全威脅主要包含系統(tǒng)及應(yīng)用漏洞、代碼注入、XSS跨站腳本攻擊、安全配置錯(cuò)誤（弱口令）、拒絕服務(wù)攻擊等。

2.1 系統(tǒng)漏洞

根據(jù)Spiceworks發(fā)布的2016年服務(wù)器操作系統(tǒng)市場份額統(tǒng)計(jì)數(shù)據(jù)顯示，2016年服務(wù)器操作系統(tǒng)主要包含微軟公司的WindowsServer和Linux兩大類，微軟公司的WindowsServer操作系統(tǒng)市場占有率為88%，其中已于2015年7月14停止支持的WindowsServer2003系統(tǒng)仍然占有18%的份額，并且全球范圍內(nèi)53%的企業(yè)在服務(wù)器上至少運(yùn)行一個(gè)Server2003的實(shí)例。由于微軟公司已經(jīng)停止系統(tǒng)更新，這部分服務(wù)器存在系統(tǒng)漏洞，很容易被黑客發(fā)現(xiàn)系統(tǒng)漏洞幷實(shí)施攻擊，進(jìn)而影響到局域網(wǎng)內(nèi)其他服務(wù)器的正常運(yùn)行。

運(yùn)行Linux操作系統(tǒng)的服務(wù)器中red hat enterprise linux僅占1%，其他各類Linux占有11%的市場份額，這主要是由于Linux操作系統(tǒng)的技術(shù)門檻較高，且很多管理沒有定期為Linux操作系統(tǒng)更新的習(xí)慣，導(dǎo)致系統(tǒng)存在漏洞造成安全隱患。

另外，開放多余的服務(wù)也是操作系統(tǒng)安全的一個(gè)重大隱患，如2017年4月爆發(fā)的勒索病毒W(wǎng)annaCry就是利用操作系統(tǒng)中開放的139和445端口發(fā)動(dòng)攻擊，造成大量校園網(wǎng)中的服務(wù)器和客戶機(jī)中的重要文件丟失。

2.2 代碼注入

代碼注入是針對(duì)Web應(yīng)用的攻擊技術(shù)，主要是利用Web應(yīng)用程序輸入驗(yàn)證不完善的漏洞，使Web應(yīng)用程序執(zhí)行由攻擊者注入的指令或代碼，造成信息泄露或未授權(quán)訪問1。代碼注入主要分為針對(duì)數(shù)據(jù)庫的SQL注入、針對(duì)Web服務(wù)器端的ASP注入或PHP注入以及針對(duì)操作系統(tǒng)的shell注入等類型，其中又以SQL注入最為常見。

SQL注入漏洞主要是由于用戶輸入沒有被正確的過濾掉字符串轉(zhuǎn)義字符，從而使得用戶可以輸入并執(zhí)行非預(yù)期的SQL指令。因此SQL注入攻擊主要是向用戶提供的輸入接口輸入一段預(yù)先構(gòu)造好的指令，攻擊不完善的輸入驗(yàn)證機(jī)制，使得輸入代碼得以執(zhí)行以完成攻擊行為。

2.3 XSS跨站腳本攻擊

XSS跨站腳本攻擊與注入攻擊的根本區(qū)別在于其攻擊目標(biāo)是使用Web應(yīng)用程序的用戶而非提供Web服務(wù)的應(yīng)用程序。它的主要原理利用Web應(yīng)用程序中的安全漏洞，在服務(wù)器網(wǎng)頁中插入一些客戶端腳本代碼，當(dāng)用戶訪問這些網(wǎng)頁時(shí)，會(huì)自動(dòng)下載并執(zhí)行。

XSS跨站腳本漏洞分為持久性和非持久性兩類，典型的非持久性攻擊一般是通過竊取用戶會(huì)話的Cookie，從而假冒其他用戶發(fā)表或修改帖子，達(dá)到攻擊的目的。

2.4 安全配置錯(cuò)誤

錯(cuò)誤的安全配置一般是由于管理員安全意識(shí)不足或技術(shù)不過關(guān)，在服務(wù)器或Web應(yīng)用配置時(shí)疏忽造成的，包含范圍廣泛，通常認(rèn)為容易造成嚴(yán)重的安全問題的配置即為安全配置錯(cuò)誤。

常見的安全配置錯(cuò)誤如授權(quán)與訪問控制機(jī)制不健全、系統(tǒng)管理員及數(shù)據(jù)庫賬戶弱口令、未開啟系統(tǒng)更新與防火墻策略或Config文件中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲(chǔ)信息未加以保護(hù)等。

2.5 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊的目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，是業(yè)界目前公認(rèn)的最難防守的網(wǎng)絡(luò)攻擊類型之一。攻擊者會(huì)采取資源耗盡的方式，讓訪問者無法正常使用Web應(yīng)用中的服務(wù)，這些資源包括磁盤空間、系統(tǒng)內(nèi)存、網(wǎng)絡(luò)帶寬等等。產(chǎn)生拒絕服務(wù)攻擊的最根本原因在于網(wǎng)絡(luò)協(xié)議本身的缺陷，使得攻擊者可以采取不間斷的訪問迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求，影響合法用戶的連接。

目前拒絕服務(wù)的攻擊方式主要是采取極大的通信量沖擊網(wǎng)絡(luò)致使帶寬耗盡或是連通性攻擊，常用的手段主要有死亡之PNG、SYN Flood、IP欺騙、UDP洪水攻擊、Land攻擊、Fraggle攻擊等。

3 高校Web應(yīng)用加固對(duì)策

3.1 定期開展行滲透測試

定期開展?jié)B透測試有助于幫助用戶及時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)，理解當(dāng)前的信息安全狀況，有助于用戶更好的分配有限的資源。滲透測試一般從以下幾個(gè)方面進(jìn)行：

1） 掃描目標(biāo)主機(jī)

測試操作的第一步工作即是收集目標(biāo)主機(jī)的相關(guān)信息，利用掃描工具對(duì)目標(biāo)主機(jī)進(jìn)行探測，檢測目標(biāo)主機(jī)是否存在已知的系統(tǒng)漏洞，并探測目標(biāo)主機(jī)開放的端口和服務(wù)。通過對(duì)掃描結(jié)果的分析，對(duì)目標(biāo)主機(jī)公開的信息進(jìn)行審核，從社會(huì)工程學(xué)的角度進(jìn)行分析，對(duì)目標(biāo)主機(jī)的加固提出有益建議2。

通過掃描獲取的信息，分析目標(biāo)主機(jī)可能被滲透的方式，關(guān)閉不必要的服務(wù)，如你不會(huì)共享你的文件或打印機(jī)，則可以將Server服務(wù)設(shè)置為手動(dòng)；而Remote Registry等容易造成遠(yuǎn)程攻擊的服務(wù)，則是一定要關(guān)閉的。

2） 代碼注入測試

訪問目標(biāo)Web應(yīng)用服務(wù)器網(wǎng)址，通過手工驗(yàn)證或旁注檢測程序?qū)δ繕?biāo)主機(jī)進(jìn)行代碼注入測試，檢測目標(biāo)主機(jī)是否存在SQL注入漏洞、XSS跨站腳本攻擊漏洞等常見代碼注入漏洞并對(duì)注入點(diǎn)進(jìn)行攻擊，嘗試破解網(wǎng)站具備管理員權(quán)限的賬號(hào)和密碼。endprint

檢測出代碼注入漏洞首先需加固用戶網(wǎng)站代碼，應(yīng)對(duì) SQL注入點(diǎn)的關(guān)鍵詞和特殊字符進(jìn)行過濾，并防止直接將數(shù)據(jù)庫返回的錯(cuò)誤信息顯示給用戶。其次，設(shè)置數(shù)據(jù)庫管理系統(tǒng)安全配置項(xiàng)，盡量避免直接使用SA賬號(hào)管理數(shù)據(jù)庫，采取Windows身份驗(yàn)證模式，可避免大多Internet工具的侵害。

3） 安全配置防護(hù)檢測

檢測操作系統(tǒng)和應(yīng)用安全配置，關(guān)閉不必要的服務(wù)和端口，檢測系統(tǒng)是否開啟審核策略和賬戶強(qiáng)制安全策略，檢測系統(tǒng)是否存在冗余備份策略，系統(tǒng)是否禁止默認(rèn)共享和空連接等。

檢測應(yīng)用數(shù)據(jù)庫安全策略，是否配置安全審計(jì)功能和防止無限嘗試登陸策略，檢測數(shù)據(jù)庫和Web應(yīng)用的密碼是否符合復(fù)雜密碼要求等。

3.2 制定科學(xué)的安全防護(hù)制度

1） 定期組織開展安全教育與培訓(xùn)

組織所有管理員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》等安全法規(guī)，定期開展校園網(wǎng)絡(luò)安全常識(shí)培訓(xùn)，提高用戶的安全意識(shí)，避免不法分子從內(nèi)部局域網(wǎng)攻擊Web應(yīng)用服務(wù)器。

組織網(wǎng)絡(luò)安全管理員到企業(yè)相應(yīng)崗位開展交流學(xué)習(xí)活動(dòng)，拓展專業(yè)技術(shù)人員的視野，提高業(yè)務(wù)素質(zhì)能力，鼓勵(lì)安全從業(yè)人員參加專業(yè)相關(guān)的培訓(xùn)，不斷學(xué)習(xí)最新的行業(yè)知識(shí)，了解業(yè)內(nèi)最新動(dòng)態(tài)，跟上技術(shù)的發(fā)展。

2） 定期進(jìn)行病毒掃描和安全漏洞檢測

制定網(wǎng)絡(luò)安全狀態(tài)巡視制度并嚴(yán)格執(zhí)行，每日記錄巡視情況，及時(shí)修補(bǔ)系統(tǒng)漏洞，并升級(jí)操作系統(tǒng)、Web應(yīng)用等，并根據(jù)實(shí)際情況和需要采用最新的技術(shù)調(diào)整網(wǎng)絡(luò)架構(gòu)，及時(shí)排除網(wǎng)絡(luò)安全隱患。

4 小結(jié)

本文通過對(duì)于校園Web應(yīng)用安全威脅的分析，發(fā)現(xiàn)對(duì)于校園Web應(yīng)用的安全威脅包含系統(tǒng)及應(yīng)用漏洞、代碼注入、XSS跨站腳本攻擊、安全配置錯(cuò)誤、拒絕服務(wù)攻擊等幾個(gè)方面，進(jìn)而提出從定期開展?jié)B透測試和制定科學(xué)的安全防護(hù)制度加固Web應(yīng)用服務(wù)器。但是網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)攻防的過程，因此只有不斷提高專業(yè)技術(shù)人員的業(yè)務(wù)素質(zhì)和安全意識(shí)，才能最大程度保障Web應(yīng)用的安全。

參考文獻(xiàn)：

[1] 歐陽林. 校園網(wǎng)站入侵攻擊的查找與防范[J]. 電腦編程技巧與維護(hù)，2017（1）：88-89+94.

[2] 黃偉軍. 基于滲透測試的信息安全風(fēng)險(xiǎn)評(píng)估過程[J]. 中國管理信息化，2015（15）：99-102.endprint