摘要：隨著WEB 應(yīng)用的快速發(fā)展，WEB 應(yīng)用中所存在的安全問題也暴露得越來越明顯。本文對WEB 安全評估與傳統(tǒng)評估服務(wù)的區(qū)別以及評估流程、WEB 應(yīng)用中常見的幾種威脅分別做了介紹，并詳細(xì)講解了WEB 安全評估方式與防護策略的應(yīng)用。

關(guān)鍵詞：WEB；安全；評估；防護

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1674-7712 (2012) 14-0080-01

服務(wù)提供方對減少客戶端開發(fā)成本和維護成本的一直有著很高的期望，伴隨著用戶對客戶端的便利性的需求，促使更多的應(yīng)用向B/S（瀏覽器/ 服務(wù)器）結(jié)構(gòu)發(fā)展。用戶對頁面展現(xiàn)效果以及其易用性的需求的逐步提升也推動了WEB 2.0 技術(shù)廣泛應(yīng)用，這樣暴露出來的越來越多的安全問題就成了WEB應(yīng)用快速發(fā)展產(chǎn)生的負(fù)面影響。

一、概述

WEB安全評估針對當(dāng)前突出的WEB 安全問題分別從外部和內(nèi)部進行黑盒和白盒安全評估?；赪EB多層面結(jié)構(gòu)的特性，針對每一個特定層面進行綜合關(guān)聯(lián)分析和評估，從而找出WEB站點中面臨威脅的安全問題與隱患。

二、面臨的威脅

（一）跨站腳本

跨站腳本攻擊全也稱為XSS。此漏洞是由于指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，使得攻擊者精心構(gòu)造的惡意腳本在普通用戶的瀏覽器中得到執(zhí)行，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害。在今天WEB 2.0的時代，跨站腳本漏也很有可能在被蠕蟲利用的情況下，進行大規(guī)模的危害很大的攻擊，。

（二）注入攻擊

注入攻擊中最常見的是SQL 注入，此攻擊類型是由于在沒有對內(nèi)容進行嚴(yán)格驗證的情況下使用應(yīng)用程序。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入，并且進行未授權(quán)的數(shù)據(jù)修改，從而對WEB站點造成很大的安全威脅。

（三）越權(quán)操作

越權(quán)攻擊是由于程序員對頁面的管理權(quán)的審定不完善，從而造成的使攻擊者利用潛在漏洞在無需得到用戶或管理員的密碼的情況下即可訪問的漏洞。越權(quán)操作可以按獲得的權(quán)限所在的層級結(jié)構(gòu)分為水平越權(quán)和垂直越權(quán)。

水平越權(quán)：指的是攻擊者利用的同樣級別的用戶權(quán)限獲得了其它同樣權(quán)限級別用戶的數(shù)據(jù)，這種越權(quán)在同等級權(quán)限的情況下，所以稱之為水平越權(quán)。這種越權(quán)往往會導(dǎo)致用戶信息泄露，或者被惡意篡改，重要數(shù)據(jù)丟失。

垂直越權(quán)：值得是攻擊利用低等級權(quán)限的用戶獲得了高于當(dāng)前級別的權(quán)限，因為這種越權(quán)跨越權(quán)限等級，所以稱之為垂直越權(quán)。這種越權(quán)因為攻擊者獲得了很高的權(quán)限，甚至網(wǎng)站服務(wù)器的管理員權(quán)限，其危害不言而喻。

（四）文件上傳

文件上傳漏洞指：開發(fā)人員編寫應(yīng)用程序時，未對用戶上傳的文件擴展名進行嚴(yán)格檢查，從而導(dǎo)致攻擊者上傳webshell，獲取到網(wǎng)站的權(quán)限。文件上傳大多數(shù)是由于開發(fā)人員的疏忽或者對安全的理解不深引發(fā)的。例如：開發(fā)人員只過濾了asp 擴展名的文件，而未asa、cer 擴展名的文件，而asa、cer 擴展名的文件也會被asp.dll 解析，從而導(dǎo)致webshell 被上傳。

（五）信息泄露

信息泄漏大致分為兩類：一類是由于應(yīng)用程序編寫時對錯誤處理方式考慮不全面，使得用戶提交非法數(shù)據(jù)時應(yīng)用程序報錯，在錯誤信息中可能包含大量操作系統(tǒng)版本、WEB 服務(wù)器版本、網(wǎng)站在服務(wù)器上的絕對路徑等敏感信息。此類型漏洞攻擊者可能無法直接利用，但和其他漏洞結(jié)合起來，就會對成功入侵起到很大的幫助。

（六）第三方應(yīng)用程序安全性

由于互聯(lián)網(wǎng)已經(jīng)發(fā)展的很成熟，很多開發(fā)人員在開發(fā)某些模塊時可能會上網(wǎng)搜索一些現(xiàn)成的代碼，將其加入到自己的程序中，但由于網(wǎng)絡(luò)上開發(fā)人員的水平層次不齊，很多代碼的安全性很差，而開發(fā)人員將這些程序嵌入到自己的程序中，會導(dǎo)致安全問題產(chǎn)生，如fckeditor、ewebeditor 等應(yīng)用程序在歷史上就發(fā)現(xiàn)過很多漏洞，成為很多攻擊者的突破口。

三、評估方式

（一）外部評估

外部評估是指測試人員由外部發(fā)起的、針對服務(wù)器和應(yīng)用服務(wù)的遠(yuǎn)程評估工作，主要模擬來自外部的惡意掃描等行為，以此發(fā)現(xiàn)暴露于網(wǎng)絡(luò)上的安全問題。

（二）內(nèi)部評估

內(nèi)部評估是指從內(nèi)部發(fā)起針對服務(wù)器配置、策略及代碼本身的安全檢查。相對外部安全的黑盒測試方式來講，內(nèi)部評估更近似于白盒測試，注重功能性及安全性的檢查，從根源上發(fā)現(xiàn)所存在的隱患。

四、防護策略

WEB網(wǎng)站的安全防護相較于信息系統(tǒng)的安全防護相類似，也涉及到多個層面：通用軟件、一般服務(wù)組件如數(shù)據(jù)庫、常用軟件、系統(tǒng)層面、網(wǎng)絡(luò)層面等、特定應(yīng)用，相較于前三類防護手段是類似的。

因此，對WEB 應(yīng)用程序的防護并不能單單考慮被動的、通用的防護方式，而需要以更為主動的方式進行，如在程序的設(shè)計過程中功能安全性的考慮，在開發(fā)過程中的安全測試及上線前的代碼審計等工作。通過這樣一系列工作將安全滲透到每一個環(huán)節(jié)中，增加安全的主動性，以此達到應(yīng)用程序的安全、穩(wěn)定。

參考文獻：

[1]劉壯業(yè)，姚鄭.面向服務(wù)架構(gòu)若干關(guān)鍵問題研究[J].計算機工程與設(shè)計，2009，(03).

[2]沈祥，方振宇.面向服務(wù)架構(gòu)的研究[J].計算機技術(shù)與發(fā)展，2009，(02).

[3]尋大勇.基于面向服務(wù)架構(gòu)(SOA)的電子政務(wù)[J].中國管理信息化，2009，(09).

[4]李曉飛，袁立群，張平.跨地域分布式面向web安全性控制系統(tǒng)架構(gòu)研究[J].財經(jīng)界(學(xué)術(shù)版)，2009，(12).

[作者簡介]易文平（1984-），江西宜春人，宜春學(xué)院助教，學(xué)士，主要從事計算機教學(xué)與研究。