賈思超

摘 要：本文論述了在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，網(wǎng)站安全所處的一個(gè)安全位置，著重介紹了網(wǎng)站所面臨的一些威脅和對(duì)消滅威脅的一些手段。

關(guān)鍵詞：web；網(wǎng)站；安全

1、web安全的興起

Web是互聯(lián)網(wǎng)的核心，也是未來(lái)云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的最佳載體，因此web安全也是公司安全業(yè)務(wù)中最重要的組成部分。因?yàn)閣eb安全的重要性，所以web也是黑客攻擊的主要所在。Web的攻擊技術(shù)的發(fā)展也可以分為幾個(gè)階段。期初人們更多的是關(guān)注服務(wù)器端的動(dòng)態(tài)腳本的安全問(wèn)題，比如將一個(gè)可執(zhí)行腳本上傳到服務(wù)器上，從而獲得權(quán)限。緊接著就是SQL注入攻擊的出現(xiàn)，這種攻擊可以說(shuō)是web安全史上的一個(gè)里程碑，通過(guò)SQL注入攻擊，可以獲取很多重要的資料、敏感數(shù)據(jù)，甚至能夠通過(guò)數(shù)據(jù)庫(kù)獲取系統(tǒng)的訪問(wèn)權(quán)限，所以web攻擊一下子就流行了起來(lái)。

2、Web攻擊手段

目前主流的web攻擊手段比較多，比如網(wǎng)絡(luò)蠕蟲(chóng)攻擊、跨站腳本攻擊、掛馬攻擊、cookie攻擊、拒絕服務(wù)攻擊、釣魚(yú)攻擊、SQL注入攻擊，其中大多數(shù)的攻擊核心就是web服務(wù)器存在漏洞。主要的一個(gè)流程，并且是最常用的一個(gè)流程就是通過(guò)攻擊web應(yīng)用，間接的攻擊web平臺(tái)，然后通過(guò)提權(quán)的方式獲取最高權(quán)限，達(dá)到最終攻擊數(shù)據(jù)庫(kù)的目的，提取有用的數(shù)據(jù)。

圖1：web攻擊圖

2.1 SQL注入攻擊

這種攻擊手段是攻擊者經(jīng)常利用的手段之一，在網(wǎng)站和應(yīng)用程序編寫(xiě)的時(shí)候，很多程序員因?yàn)闆](méi)有考慮到安全問(wèn)題，對(duì)程序語(yǔ)言的語(yǔ)法沒(méi)有經(jīng)過(guò)細(xì)心的審核，使得代碼存在風(fēng)險(xiǎn)，這就給攻擊者留下了攻擊的途徑，攻擊者首先通過(guò)自己提供的一些數(shù)據(jù)來(lái)判斷是否可以進(jìn)行SQL注入攻擊，發(fā)現(xiàn)了web服務(wù)器存在的漏洞以后，進(jìn)行注入攻擊，然后提權(quán)，最終掌控?cái)?shù)據(jù)庫(kù)。

2.2其他攻擊手段

除了以上攻擊手段以外，還有很多攻擊方法，比如跨站攻擊（XSS攻擊），攻擊者利用網(wǎng)站程序?qū)τ脩?hù)輸入過(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶(hù)造成影響的HTML代碼，從而盜取用戶(hù)資料、利用用戶(hù)身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。網(wǎng)站掛馬，導(dǎo)致用戶(hù)形象被破壞：攻擊者通過(guò)在正常的頁(yè)面中（通常是網(wǎng)站的主頁(yè)）插入一段代碼，上網(wǎng)者在打開(kāi)該頁(yè)面的時(shí)候，這段代碼被執(zhí)行，然后下載并運(yùn)行某木馬的服務(wù)器端程序，進(jìn)而控制上網(wǎng)者的主機(jī)。等一些攻擊方法。

3、Web安全防護(hù)手段

Web攻擊的核心就是網(wǎng)站存在漏洞，因此圍繞這個(gè)核心，web安全防護(hù)可以分為三個(gè)階段，首先就是攻擊發(fā)生之前，對(duì)網(wǎng)站存在的漏洞進(jìn)行掃描并且進(jìn)行解決。其次就是在web攻擊發(fā)生的時(shí)候能夠及時(shí)的阻斷攻擊行為，保證網(wǎng)站的安全。最后就是在攻擊行為發(fā)生了以后，保證內(nèi)部數(shù)據(jù)的安全，確保不會(huì)因?yàn)楣粜袨槎斐蓴?shù)據(jù)的泄露。

3.1攻擊發(fā)生前

在攻擊沒(méi)有發(fā)生的時(shí)候，可以通過(guò)一系列的手段減少web服務(wù)器存在的漏洞數(shù)，比如在網(wǎng)站建設(shè)前期，使用安全的代碼編寫(xiě)方式，就可以減少漏洞存在的數(shù)量，如果web服務(wù)器已經(jīng)上線，那么可以通過(guò)一些安全的掃描產(chǎn)品，對(duì)web服務(wù)器進(jìn)行安全掃描，主動(dòng)的發(fā)現(xiàn)web存在的漏洞情況，然后根據(jù)掃描結(jié)果對(duì)存在的漏洞進(jìn)行修復(fù)，達(dá)到減少漏洞的目的。

3.2攻擊發(fā)生時(shí)

在整個(gè)安全防護(hù)過(guò)程中，攻擊發(fā)生前的防護(hù)行為，是從根本上解決web攻擊，但是實(shí)際情況下，漏洞是沒(méi)有辦法做到百分之百的修復(fù)的，因此攻擊正在發(fā)生的時(shí)候，采取在線防護(hù)的手段是必不可少的web防護(hù)。

在攻擊發(fā)生的時(shí)候，通過(guò)部署專(zhuān)業(yè)的web防護(hù)安全設(shè)備，來(lái)進(jìn)行web服務(wù)器的在線防護(hù)，首先在網(wǎng)站出口處，可以通過(guò)抗拒絕服務(wù)設(shè)備，來(lái)進(jìn)行DDoS攻擊的防護(hù)，確保web服務(wù)器不會(huì)受到DDoS、DoS攻擊，確保網(wǎng)站能夠持續(xù)運(yùn)行，而且避免網(wǎng)絡(luò)出口的堵塞。其次在web服務(wù)器前端部署專(zhuān)業(yè)的web防護(hù)產(chǎn)品，對(duì)web服務(wù)器進(jìn)行專(zhuān)業(yè)的防護(hù)，實(shí)時(shí)過(guò)濾HTTP請(qǐng)求中混雜的網(wǎng)頁(yè)攻擊流量（如SQL注入、XSS等），保證網(wǎng)頁(yè)處于健康狀態(tài)，避免網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)存在釣魚(yú)鏈接、網(wǎng)頁(yè)被掛馬等現(xiàn)象。

3.3攻擊發(fā)生后

攻擊發(fā)生后，能夠采取一定的措施，保證即使攻擊者攻入到內(nèi)部網(wǎng)絡(luò)，也無(wú)法對(duì)重要的數(shù)據(jù)和敏感信息進(jìn)行操作和盜取，比如一些非法下載的限制，webshell的防護(hù)，敏感數(shù)據(jù)的過(guò)濾等，通過(guò)一整套的攻擊前、攻擊時(shí)、攻擊后的防護(hù)手段，可以確保網(wǎng)站的安全性提高很大的空間，有效減少因?yàn)閣eb遭受攻擊而帶來(lái)的巨大損失。

4、總結(jié)

就目前的web安全防護(hù)現(xiàn)在而言，已經(jīng)初步進(jìn)行了web安全的規(guī)劃，但是安全是一個(gè)長(zhǎng)期的過(guò)程，需要與時(shí)俱進(jìn)，掌握最新的安全防護(hù)方法，及時(shí)進(jìn)行web安全的防護(hù)，才能有效的保證web服務(wù)的安全性。

對(duì)于web的安全，除了一些防護(hù)手段以外，一個(gè)良好的運(yùn)維習(xí)慣和工作習(xí)慣也很重要，在平常內(nèi)部辦公的時(shí)候，注意安全操作習(xí)慣，在運(yùn)維web服務(wù)器的時(shí)候，養(yǎng)成良好的配置習(xí)慣，都可以保證web的安全性。

參考文獻(xiàn)：

[1]吳翰清.白帽子講web安全[M].北京：中國(guó)電力出版社，2003

[2]陳建平.Web前端黑客技術(shù)揭秘[M].電子工業(yè)出版社，2013.1

[3]丁建偉.網(wǎng)站入侵與腳本攻防修煉[M].肖遙出版社，2008.2