◆馬顏軍

（遼寧警察學(xué)院公安信息系 遼寧 116036）

Web的安全威脅與安全防護(hù)

◆馬顏軍

（遼寧警察學(xué)院公安信息系 遼寧 116036）

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，Web應(yīng)用滲入到每個(gè)人的日常生活中，Web的安全形勢(shì)也日益嚴(yán)峻。本文闡述了當(dāng)前Web所面臨的安全威脅，從操作系統(tǒng)漏洞威脅、應(yīng)用軟件漏洞威脅兩個(gè)方面進(jìn)行了分析，并對(duì)常見(jiàn)Web安全威脅提出了相應(yīng)的安全防護(hù)建議。

Web安全；安全威脅；安全防護(hù)

0 引言

近年來(lái)，隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，使得企業(yè)的業(yè)務(wù)需求越來(lái)越多?；赪eb的應(yīng)用程序大量開(kāi)發(fā)，如網(wǎng)上購(gòu)物平臺(tái)、互聯(lián)網(wǎng)購(gòu)票系統(tǒng)，網(wǎng)上銀行，網(wǎng)絡(luò)郵箱，網(wǎng)絡(luò)游戲等等。

當(dāng)前互聯(lián)網(wǎng)中最重要的資源程序和數(shù)據(jù)幾乎都與Web服務(wù)有關(guān)，伴隨Web廣泛應(yīng)用，Web應(yīng)用程序和數(shù)據(jù)已經(jīng)成為黑客攻擊的頭號(hào)目標(biāo)[1]。針對(duì) Web的攻擊與破壞事件層出不窮，給人們的生活和經(jīng)濟(jì)造成嚴(yán)重威脅，Web安全問(wèn)題已引起人們的極大重視。

Web是互聯(lián)網(wǎng)的核心，是云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的最佳載體，所以確保Web安全尤為重要。本文對(duì)Web相關(guān)應(yīng)用的安全威脅進(jìn)行了分析，并以相關(guān)漏洞為例，提出了相應(yīng)的防護(hù)措施。

1 Web的安全威脅

Web安全威脅種類繁多，主要有針對(duì)操作系統(tǒng)的安全威脅，針對(duì)數(shù)據(jù)庫(kù)的安全威脅，還有針對(duì)Web應(yīng)用程序的安全威脅。常見(jiàn)的幾種Web安全威脅有基于操作系統(tǒng)本身的計(jì)算機(jī)病毒、后門(mén)程序等，還有以Web應(yīng)用程序進(jìn)行攻擊的SQL注入攻擊、XSS攻擊、文件上傳漏洞、網(wǎng)頁(yè)木馬等安全威脅。

1.1 操作系統(tǒng)漏洞威脅

后門(mén)程序、計(jì)算機(jī)病毒是對(duì)操作系統(tǒng)安全威脅最為常見(jiàn)的威脅。

（1）后門(mén)程序

后門(mén)程序一般是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件的開(kāi)發(fā)階段，程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門(mén)程序以便可以修改程序設(shè)計(jì)中的缺陷。攻擊者往往就是利用程序員在編寫(xiě)軟件留有后門(mén)的習(xí)慣，運(yùn)用特殊手段找到后門(mén)程序的接口，從而使系統(tǒng)面臨安全威脅。

后門(mén)能夠相互關(guān)聯(lián)，黑客經(jīng)常會(huì)對(duì)系統(tǒng)的配置文件進(jìn)行修改提高權(quán)限或安裝木馬程序，使系統(tǒng)打開(kāi)一個(gè)安全漏洞，便于黑客完全掌握系統(tǒng)。

后門(mén)有很多不同的分類方式，從技術(shù)角度可以將后門(mén)程序分為網(wǎng)頁(yè)后門(mén)、擴(kuò)展后門(mén)、C/S后門(mén)、賬號(hào)后門(mén)等。

（2）計(jì)算機(jī)病毒

根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，病毒的明確定義是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

計(jì)算機(jī)病毒具有隱蔽性，破壞性，潛伏性，傳染性等特征。計(jì)算機(jī)病毒其實(shí)就是一段程序或代碼。大多數(shù)計(jì)算機(jī)病毒能夠進(jìn)行自我復(fù)制，通過(guò)自我的不斷復(fù)制來(lái)影響計(jì)算機(jī)系統(tǒng)的穩(wěn)定性并可以通過(guò)病毒感染計(jì)算機(jī)竊取用戶大量隱私信息。

常見(jiàn)的計(jì)算機(jī)病毒有：CIH 病毒、蠕蟲(chóng)病毒、QQ傳送者、特洛伊木馬、腳本病毒等。腳本病毒是一種常見(jiàn)的攻擊Web的一種病毒，主要采用腳本語(yǔ)言編寫(xiě)，它可以對(duì)系統(tǒng)進(jìn)行操作，包括創(chuàng)建、修改、刪除甚至格式化硬盤(pán)。腳本病毒編寫(xiě)形式靈活，容易產(chǎn)生變種，使得傳統(tǒng)的特征提取方式對(duì)其進(jìn)行檢測(cè)率較低，對(duì)未知的腳本病毒無(wú)法識(shí)別[2]。

1.2 應(yīng)用軟件的漏洞

Web應(yīng)用程序一般都會(huì)采用B/S（Browser瀏覽器端/Server服務(wù)器端）模式，其由多個(gè)Servlet、JSP頁(yè)面、HTML文件以及圖像文件等組成。瀏覽器是客戶端用戶用來(lái)與服務(wù)器交互的重要應(yīng)用程序，主要實(shí)現(xiàn)向 Web 服務(wù)器發(fā)送請(qǐng)求，并對(duì) Web 服務(wù)器發(fā)送來(lái)的超文本信息和數(shù)據(jù)進(jìn)行解析和顯示。瀏覽器初期只提供HTML 靜態(tài)頁(yè)面的解析顯示，隨著腳本和插件技術(shù)的發(fā)展，為提高用戶體驗(yàn)，網(wǎng)站中包含大量的動(dòng)態(tài)內(nèi)容。這些功能豐富了Web頁(yè)面的顯示，但也帶來(lái)了新的安全問(wèn)題。

（1）XSS攻擊

XSS英文全稱是Cross Site Script，也稱跨站腳本攻擊，為了和層疊樣式表區(qū)別開(kāi)來(lái)，在安全領(lǐng)域稱其為XSS。XSS攻擊通常指攻擊者是用HTML注入技術(shù)向網(wǎng)頁(yè)插入惡意腳本，篡改網(wǎng)頁(yè)，當(dāng)用戶瀏覽已經(jīng)插入惡意腳本的網(wǎng)頁(yè)時(shí)，惡意腳本就會(huì)被執(zhí)行，從而攻擊者可以利用網(wǎng)站漏洞盜取用戶信息。

XSS攻擊的主要目的之一是獲取授權(quán)用戶的Cookie 信息，由于XSS攻擊破壞力強(qiáng)，產(chǎn)生的場(chǎng)景也比較復(fù)雜，XSS攻擊長(zhǎng)期以來(lái)一直被列為客戶端Web安全的頭號(hào)威脅。XSS攻擊通常有兩種方式[3，4]：

持久性攻擊：攻擊者將惡意代碼存儲(chǔ)在與Web應(yīng)用程序交互的數(shù)據(jù)庫(kù)中，當(dāng)用戶訪問(wèn)請(qǐng)求動(dòng)態(tài)頁(yè)面時(shí)，Web應(yīng)用程序從數(shù)據(jù)庫(kù)中返回惡意的Javascript代碼給用戶。用戶瀏覽器執(zhí)行該腳本后，將用戶的Cookie發(fā)送給攻擊者控制的服務(wù)器。

反射攻擊：這種方式下，攻擊的腳本沒(méi)有存儲(chǔ)在服務(wù)器端，而是在攻擊過(guò)程中反射給用戶。它通過(guò)給別人發(fā)送帶有惡意腳本代碼參數(shù)的統(tǒng)一資源定位符（URL，Uniform Resource Locator），當(dāng)URL地址被打開(kāi)時(shí)，特有的惡意代碼參數(shù)被HTML解析執(zhí)行。其攻擊特點(diǎn)是非持久化，必須用戶點(diǎn)擊帶有特定參數(shù)的鏈接才能引起。

（2）SQL注入攻擊

SQL注入攻擊利用服務(wù)器端代碼自身存在的漏洞進(jìn)行攻擊，攻擊的目標(biāo)通過(guò)Web客戶端代碼對(duì)Web服務(wù)器連接的數(shù)據(jù)庫(kù)后端進(jìn)行攻擊。通過(guò)這種方式攻擊者往往可以逃避現(xiàn)存的大部分安全防護(hù)機(jī)制，而直接通過(guò)竊取的權(quán)限達(dá)到對(duì)非授權(quán)數(shù)據(jù)非法訪問(wèn)的目的[1]。

SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。SQL攻擊方法有很多，攻擊者可以根據(jù)數(shù)據(jù)庫(kù)的類型和漏洞來(lái)針對(duì)性地選擇攻擊方法。SQL注入攻擊一般步驟：①發(fā)現(xiàn)SQL注入點(diǎn)；②構(gòu)造注入語(yǔ)句判斷后臺(tái)數(shù)據(jù)庫(kù)類型；③猜解數(shù)據(jù)庫(kù)，獲得管理員權(quán)限；④確定Web虛擬目錄，上傳木馬控制整個(gè)網(wǎng)站。

2 Web的安全防護(hù)策略

用戶在了解Web安全威脅方面的知識(shí)后，采取必要的防御措施，在很大程度上可以杜絕Web安全事件的發(fā)生。以下介紹幾種防御措施。

（1）做好操作系統(tǒng)安全防護(hù)，使用正版的操作系統(tǒng)，并及時(shí)更新系統(tǒng)補(bǔ)?。蛔钚』瓌t，用戶根據(jù)需要，設(shè)置合理的權(quán)限，盡量開(kāi)放最少的服務(wù)；安裝應(yīng)用軟件時(shí)，注意辨別軟件需要調(diào)用的權(quán)限，不要輕易提升權(quán)限。

（2）數(shù)據(jù)庫(kù)安全防護(hù)，使用密文存儲(chǔ)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，定期檢查數(shù)據(jù)庫(kù)是否存在漏洞，設(shè)置安全管理賬戶，定期對(duì)重要的數(shù)據(jù)進(jìn)行備份。

（3）跨站腳本防范，將要置于HTML上下文的所有的不可信數(shù)據(jù)進(jìn)行相應(yīng)的轉(zhuǎn)義；驗(yàn)證所有輸入數(shù)據(jù)，有效檢測(cè)攻擊；對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成功注入的腳本在瀏覽器端運(yùn)行；在瀏覽器設(shè)置中關(guān)閉JavaScript，并將安全級(jí)別設(shè)置到“高”。

（4）SQL注入防護(hù)，使用參數(shù)化的過(guò)濾性語(yǔ)句，用戶的輸入不能直接被嵌入到SQL語(yǔ)句中；檢查數(shù)據(jù)類型，對(duì)數(shù)據(jù)庫(kù)表中數(shù)據(jù)進(jìn)行數(shù)據(jù)類型限制，這樣會(huì)在很大程度上減少攻擊。

（5）加強(qiáng)Web服務(wù)器的安全設(shè)置。正確使用Web服務(wù)器的安全設(shè)置策略，能夠有效減少服務(wù)器的安全隱患，確保Web服務(wù)器安全。一般可以從用戶名和密碼的安全設(shè)置、BIOS的安全設(shè)置、使用SSL通信協(xié)議、隱藏系統(tǒng)信息、啟用日志記錄功能以及設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限等。

（6）安裝知名度高的安全產(chǎn)品，并及時(shí)更新。選擇一款專業(yè)的安全軟件，可檢測(cè)出系統(tǒng)存在的安全隱患，有效抵御Web安全威脅。如天融信安全管理平臺(tái)TopAnalyzer遠(yuǎn)程監(jiān)測(cè)服務(wù)，可以實(shí)現(xiàn)網(wǎng)站安全掛馬監(jiān)控、網(wǎng)站安全漏洞監(jiān)控、網(wǎng)站安全內(nèi)容監(jiān)、網(wǎng)站安全狀態(tài)監(jiān)控等功能。

3 結(jié)束語(yǔ)

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們生活越來(lái)越離不開(kāi)網(wǎng)絡(luò)，在享受互聯(lián)網(wǎng)帶來(lái)便捷的同時(shí)也面臨著許多Web安全威脅。本文從后門(mén)程序、計(jì)算機(jī)病毒、XSS攻擊、SQL注入攻擊等方面對(duì)Web安全進(jìn)行了簡(jiǎn)要分析，并給出了應(yīng)對(duì)的防護(hù)措施，希望能對(duì)不同的用戶提供參考。

[1]龍興剛．Web應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J]．通信技術(shù)，2013．

[2]王繼林，蘇萬(wàn)力．信息安全導(dǎo)論（第二版）．西安電子科技大學(xué)出版社，2015．

[3]吳翰清．白帽子講 Web 安全[M]．北京：電子工業(yè)出版社，2012．

[4]羅云庚．瀏覽器安全技術(shù)研究[J]．計(jì)算機(jī)與現(xiàn)代化，2004．