◆馬顏軍
(遼寧警察學(xué)院公安信息系 遼寧 116036)
Web的安全威脅與安全防護(hù)
◆馬顏軍
(遼寧警察學(xué)院公安信息系 遼寧 116036)
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,Web應(yīng)用滲入到每個(gè)人的日常生活中,Web的安全形勢(shì)也日益嚴(yán)峻。本文闡述了當(dāng)前Web所面臨的安全威脅,從操作系統(tǒng)漏洞威脅、應(yīng)用軟件漏洞威脅兩個(gè)方面進(jìn)行了分析,并對(duì)常見(jiàn)Web安全威脅提出了相應(yīng)的安全防護(hù)建議。
Web安全;安全威脅;安全防護(hù)
近年來(lái),隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,使得企業(yè)的業(yè)務(wù)需求越來(lái)越多?;赪eb的應(yīng)用程序大量開(kāi)發(fā),如網(wǎng)上購(gòu)物平臺(tái)、互聯(lián)網(wǎng)購(gòu)票系統(tǒng),網(wǎng)上銀行,網(wǎng)絡(luò)郵箱,網(wǎng)絡(luò)游戲等等。
當(dāng)前互聯(lián)網(wǎng)中最重要的資源程序和數(shù)據(jù)幾乎都與Web服務(wù)有關(guān),伴隨Web廣泛應(yīng)用,Web應(yīng)用程序和數(shù)據(jù)已經(jīng)成為黑客攻擊的頭號(hào)目標(biāo)[1]。針對(duì) Web的攻擊與破壞事件層出不窮,給人們的生活和經(jīng)濟(jì)造成嚴(yán)重威脅,Web安全問(wèn)題已引起人們的極大重視。
Web是互聯(lián)網(wǎng)的核心,是云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的最佳載體,所以確保Web安全尤為重要。本文對(duì)Web相關(guān)應(yīng)用的安全威脅進(jìn)行了分析,并以相關(guān)漏洞為例,提出了相應(yīng)的防護(hù)措施。
Web安全威脅種類繁多,主要有針對(duì)操作系統(tǒng)的安全威脅,針對(duì)數(shù)據(jù)庫(kù)的安全威脅,還有針對(duì)Web應(yīng)用程序的安全威脅。常見(jiàn)的幾種Web安全威脅有基于操作系統(tǒng)本身的計(jì)算機(jī)病毒、后門(mén)程序等,還有以Web應(yīng)用程序進(jìn)行攻擊的SQL注入攻擊、XSS攻擊、文件上傳漏洞、網(wǎng)頁(yè)木馬等安全威脅。
1.1 操作系統(tǒng)漏洞威脅
后門(mén)程序、計(jì)算機(jī)病毒是對(duì)操作系統(tǒng)安全威脅最為常見(jiàn)的威脅。
(1)后門(mén)程序
后門(mén)程序一般是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件的開(kāi)發(fā)階段,程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門(mén)程序以便可以修改程序設(shè)計(jì)中的缺陷。攻擊者往往就是利用程序員在編寫(xiě)軟件留有后門(mén)的習(xí)慣,運(yùn)用特殊手段找到后門(mén)程序的接口,從而使系統(tǒng)面臨安全威脅。
后門(mén)能夠相互關(guān)聯(lián),黑客經(jīng)常會(huì)對(duì)系統(tǒng)的配置文件進(jìn)行修改提高權(quán)限或安裝木馬程序,使系統(tǒng)打開(kāi)一個(gè)安全漏洞,便于黑客完全掌握系統(tǒng)。
后門(mén)有很多不同的分類方式,從技術(shù)角度可以將后門(mén)程序分為網(wǎng)頁(yè)后門(mén)、擴(kuò)展后門(mén)、C/S后門(mén)、賬號(hào)后門(mén)等。
(2)計(jì)算機(jī)病毒
根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,病毒的明確定義是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
計(jì)算機(jī)病毒具有隱蔽性,破壞性,潛伏性,傳染性等特征。計(jì)算機(jī)病毒其實(shí)就是一段程序或代碼。大多數(shù)計(jì)算機(jī)病毒能夠進(jìn)行自我復(fù)制,通過(guò)自我的不斷復(fù)制來(lái)影響計(jì)算機(jī)系統(tǒng)的穩(wěn)定性并可以通過(guò)病毒感染計(jì)算機(jī)竊取用戶大量隱私信息。
常見(jiàn)的計(jì)算機(jī)病毒有:CIH 病毒、蠕蟲(chóng)病毒、QQ傳送者、特洛伊木馬、腳本病毒等。腳本病毒是一種常見(jiàn)的攻擊Web的一種病毒,主要采用腳本語(yǔ)言編寫(xiě),它可以對(duì)系統(tǒng)進(jìn)行操作,包括創(chuàng)建、修改、刪除甚至格式化硬盤(pán)。腳本病毒編寫(xiě)形式靈活,容易產(chǎn)生變種,使得傳統(tǒng)的特征提取方式對(duì)其進(jìn)行檢測(cè)率較低,對(duì)未知的腳本病毒無(wú)法識(shí)別[2]。
1.2 應(yīng)用軟件的漏洞
Web應(yīng)用程序一般都會(huì)采用B/S(Browser瀏覽器端/Server服務(wù)器端)模式,其由多個(gè)Servlet、JSP頁(yè)面、HTML文件以及圖像文件等組成。瀏覽器是客戶端用戶用來(lái)與服務(wù)器交互的重要應(yīng)用程序,主要實(shí)現(xiàn)向 Web 服務(wù)器發(fā)送請(qǐng)求,并對(duì) Web 服務(wù)器發(fā)送來(lái)的超文本信息和數(shù)據(jù)進(jìn)行解析和顯示。瀏覽器初期只提供HTML 靜態(tài)頁(yè)面的解析顯示,隨著腳本和插件技術(shù)的發(fā)展,為提高用戶體驗(yàn),網(wǎng)站中包含大量的動(dòng)態(tài)內(nèi)容。這些功能豐富了Web頁(yè)面的顯示,但也帶來(lái)了新的安全問(wèn)題。
(1)XSS攻擊
XSS英文全稱是Cross Site Script,也稱跨站腳本攻擊,為了和層疊樣式表區(qū)別開(kāi)來(lái),在安全領(lǐng)域稱其為XSS。XSS攻擊通常指攻擊者是用HTML注入技術(shù)向網(wǎng)頁(yè)插入惡意腳本,篡改網(wǎng)頁(yè),當(dāng)用戶瀏覽已經(jīng)插入惡意腳本的網(wǎng)頁(yè)時(shí),惡意腳本就會(huì)被執(zhí)行,從而攻擊者可以利用網(wǎng)站漏洞盜取用戶信息。
XSS攻擊的主要目的之一是獲取授權(quán)用戶的Cookie 信息,由于XSS攻擊破壞力強(qiáng),產(chǎn)生的場(chǎng)景也比較復(fù)雜,XSS攻擊長(zhǎng)期以來(lái)一直被列為客戶端Web安全的頭號(hào)威脅。XSS攻擊通常有兩種方式[3,4]:
持久性攻擊:攻擊者將惡意代碼存儲(chǔ)在與Web應(yīng)用程序交互的數(shù)據(jù)庫(kù)中,當(dāng)用戶訪問(wèn)請(qǐng)求動(dòng)態(tài)頁(yè)面時(shí),Web應(yīng)用程序從數(shù)據(jù)庫(kù)中返回惡意的Javascript代碼給用戶。用戶瀏覽器執(zhí)行該腳本后,將用戶的Cookie發(fā)送給攻擊者控制的服務(wù)器。
反射攻擊:這種方式下,攻擊的腳本沒(méi)有存儲(chǔ)在服務(wù)器端,而是在攻擊過(guò)程中反射給用戶。它通過(guò)給別人發(fā)送帶有惡意腳本代碼參數(shù)的統(tǒng)一資源定位符(URL,Uniform Resource Locator),當(dāng)URL地址被打開(kāi)時(shí),特有的惡意代碼參數(shù)被HTML解析執(zhí)行。其攻擊特點(diǎn)是非持久化,必須用戶點(diǎn)擊帶有特定參數(shù)的鏈接才能引起。
(2)SQL注入攻擊
SQL注入攻擊利用服務(wù)器端代碼自身存在的漏洞進(jìn)行攻擊,攻擊的目標(biāo)通過(guò)Web客戶端代碼對(duì)Web服務(wù)器連接的數(shù)據(jù)庫(kù)后端進(jìn)行攻擊。通過(guò)這種方式攻擊者往往可以逃避現(xiàn)存的大部分安全防護(hù)機(jī)制,而直接通過(guò)竊取的權(quán)限達(dá)到對(duì)非授權(quán)數(shù)據(jù)非法訪問(wèn)的目的[1]。
SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。SQL攻擊方法有很多,攻擊者可以根據(jù)數(shù)據(jù)庫(kù)的類型和漏洞來(lái)針對(duì)性地選擇攻擊方法。SQL注入攻擊一般步驟:①發(fā)現(xiàn)SQL注入點(diǎn);②構(gòu)造注入語(yǔ)句判斷后臺(tái)數(shù)據(jù)庫(kù)類型;③猜解數(shù)據(jù)庫(kù),獲得管理員權(quán)限;④確定Web虛擬目錄,上傳木馬控制整個(gè)網(wǎng)站。
用戶在了解Web安全威脅方面的知識(shí)后,采取必要的防御措施,在很大程度上可以杜絕Web安全事件的發(fā)生。以下介紹幾種防御措施。
(1)做好操作系統(tǒng)安全防護(hù),使用正版的操作系統(tǒng),并及時(shí)更新系統(tǒng)補(bǔ)?。蛔钚』瓌t,用戶根據(jù)需要,設(shè)置合理的權(quán)限,盡量開(kāi)放最少的服務(wù);安裝應(yīng)用軟件時(shí),注意辨別軟件需要調(diào)用的權(quán)限,不要輕易提升權(quán)限。
(2)數(shù)據(jù)庫(kù)安全防護(hù),使用密文存儲(chǔ)數(shù)據(jù)庫(kù)中的數(shù)據(jù),定期檢查數(shù)據(jù)庫(kù)是否存在漏洞,設(shè)置安全管理賬戶,定期對(duì)重要的數(shù)據(jù)進(jìn)行備份。
(3)跨站腳本防范,將要置于HTML上下文的所有的不可信數(shù)據(jù)進(jìn)行相應(yīng)的轉(zhuǎn)義;驗(yàn)證所有輸入數(shù)據(jù),有效檢測(cè)攻擊;對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a,以防止任何已成功注入的腳本在瀏覽器端運(yùn)行;在瀏覽器設(shè)置中關(guān)閉JavaScript,并將安全級(jí)別設(shè)置到“高”。
(4)SQL注入防護(hù),使用參數(shù)化的過(guò)濾性語(yǔ)句,用戶的輸入不能直接被嵌入到SQL語(yǔ)句中;檢查數(shù)據(jù)類型,對(duì)數(shù)據(jù)庫(kù)表中數(shù)據(jù)進(jìn)行數(shù)據(jù)類型限制,這樣會(huì)在很大程度上減少攻擊。
(5)加強(qiáng)Web服務(wù)器的安全設(shè)置。正確使用Web服務(wù)器的安全設(shè)置策略,能夠有效減少服務(wù)器的安全隱患,確保Web服務(wù)器安全。一般可以從用戶名和密碼的安全設(shè)置、BIOS的安全設(shè)置、使用SSL通信協(xié)議、隱藏系統(tǒng)信息、啟用日志記錄功能以及設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限等。
(6)安裝知名度高的安全產(chǎn)品,并及時(shí)更新。選擇一款專業(yè)的安全軟件,可檢測(cè)出系統(tǒng)存在的安全隱患,有效抵御Web安全威脅。如天融信安全管理平臺(tái)TopAnalyzer遠(yuǎn)程監(jiān)測(cè)服務(wù),可以實(shí)現(xiàn)網(wǎng)站安全掛馬監(jiān)控、網(wǎng)站安全漏洞監(jiān)控、網(wǎng)站安全內(nèi)容監(jiān)、網(wǎng)站安全狀態(tài)監(jiān)控等功能。
當(dāng)前,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,人們生活越來(lái)越離不開(kāi)網(wǎng)絡(luò),在享受互聯(lián)網(wǎng)帶來(lái)便捷的同時(shí)也面臨著許多Web安全威脅。本文從后門(mén)程序、計(jì)算機(jī)病毒、XSS攻擊、SQL注入攻擊等方面對(duì)Web安全進(jìn)行了簡(jiǎn)要分析,并給出了應(yīng)對(duì)的防護(hù)措施,希望能對(duì)不同的用戶提供參考。
[1]龍興剛.Web應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J].通信技術(shù),2013.
[2]王繼林,蘇萬(wàn)力.信息安全導(dǎo)論(第二版).西安電子科技大學(xué)出版社,2015.
[3]吳翰清.白帽子講 Web 安全[M].北京:電子工業(yè)出版社,2012.
[4]羅云庚.瀏覽器安全技術(shù)研究[J].計(jì)算機(jī)與現(xiàn)代化,2004.