（河北農(nóng)業(yè)大學(xué)，理工學(xué)院 河北 滄州 061100）

郝雅倩，劉衛(wèi)凱，鄭 晗，王棟軒（通訊作者）

1 引言

Web技術(shù)在商業(yè)活動上的使用創(chuàng)造下了舉世矚目的成就。此外Web服務(wù)技也普及于日常生活。新興技術(shù)的出現(xiàn)通常是不完善的，伴隨Web應(yīng)用技術(shù)出現(xiàn)的是網(wǎng)絡(luò)黑客的關(guān)注。他們尋找應(yīng)用中的漏洞，趁虛而入，從而操縱Web服務(wù)器。通過修改web內(nèi)容、傳播代碼等方式攻擊用戶。伴隨著Web技術(shù)的興起與發(fā)展，安全問題備受矚目。

2 Web服務(wù)的定義

從非服務(wù)端使用者的方向來講，Web服務(wù)是一種基于Web的對象/組件，也就是通過Web來調(diào)用API對使用者提供服務(wù)?？蛻粲镁幊痰男问酵ㄟ^Web來調(diào)用Web service。而Web service則是通過協(xié)議來創(chuàng)建分布式應(yīng)用程序[1]。

3 發(fā)展現(xiàn)狀

根據(jù)調(diào)查數(shù)據(jù)顯示，社交網(wǎng)絡(luò)服務(wù)和社交媒體迅速改變了互聯(lián)網(wǎng)使用的面貌，現(xiàn)在許多支持在線社交互動的公司可以收集大量的社會信息,開發(fā)新的服務(wù)[2]。

隨著人們安全意識的增加，基礎(chǔ)防范技術(shù)逐漸成熟。于是，黑客將注意力轉(zhuǎn)變到Web應(yīng)用端上。根據(jù)CERT/CC提供的2016年國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢分析，2016年主要網(wǎng)絡(luò)威脅為移動互聯(lián)網(wǎng)惡意程序和惡意APP、DDOS攻擊、程序漏洞以及網(wǎng)站安全等[3]。現(xiàn)階段，按惡意行為進行分類，黑客利用網(wǎng)絡(luò)攻擊主要實現(xiàn)流氓行為、惡意扣費、資費消耗等。

黑客技術(shù)的提升給網(wǎng)絡(luò)用戶帶來很大的危害。但是，如今反網(wǎng)絡(luò)入侵技術(shù)的研究也越來越多。并且，國家近些年設(shè)定的安全方面的法律日益完善。

4 常用攻擊手段及防御手段

4.1 XSS跨站攻擊

XSS又稱CSS（Cross Site Script，跨站腳本攻擊），是指攻擊者將特殊HTML代碼放入指定Web頁面內(nèi)，當使用者點擊該網(wǎng)頁進行閱讀時，惡意代碼自動執(zhí)行，以此來攻擊用戶[4]。

XSS攻擊屬于被動方式。攻擊者需要先構(gòu)建一個具有跨站的網(wǎng)頁，或者是一個電子郵件。一旦用戶點擊鏈接，則觸發(fā)對被攻擊站點的頁面請求。攻擊者的請求將被送往有漏洞的網(wǎng)站服務(wù)器，方便攻擊者偷取登錄信息、cookies或其他的數(shù)據(jù)。

XSS主要分為三類，分別為反射型、存儲型和DOM型[5]。

針對XSS，一般可以采用以下方法進行防護：

（1）HttpOnly

HttpOnly是指在cookie中設(shè)置HttpOnly屬性，通過JavaScript腳本將無法讀取到cookie信息。嚴格來講，它不是直接對抗XSS的手段，而是XSS發(fā)生后防止用戶Cookie被劫持[6]。并不是所有的瀏覽器都支持此操作。

（2）輸入規(guī)范

規(guī)范用戶輸入的格式。例如，用戶在登錄網(wǎng)站時填寫用戶名、密碼，要求只能輸入一定長度的字母和數(shù)字組合。這樣可以在一定程度上讓一些特殊字符的攻擊失效。

（3）輸出過濾

輸出過濾是指用戶的變量輸出到HTML頁面時，把其中敏感的字符轉(zhuǎn)成別的編碼字符，達到過濾的目的。

4.2 SQL注入

SQL注入攻擊就是攻擊者向Query中輸入部分SQL語句，將本不應(yīng)存在的數(shù)據(jù)導(dǎo)入到程序中，非法操作數(shù)據(jù)庫或網(wǎng)站，從而竊取信息。

在許多Web網(wǎng)站的操作系統(tǒng)中，當變量處理不當或篩選數(shù)據(jù)不足時，有幾率觸發(fā)SQL注入漏洞。根據(jù)網(wǎng)站所使用的Web腳本不同，SQL注入攻擊可分為ASP、PHP、JSP、ASPX注入等多種注入方式[7]。SQL注入攻擊不僅僅局限于SQL Server數(shù)據(jù)庫中，后臺使用Access、MYSQL等數(shù)據(jù)庫的網(wǎng)站等都可能存在漏洞。

預(yù)防SQL注入的方法主要有：

（1）SQL語句預(yù)編譯

避免SQL注入的最優(yōu)方法是SQL語句預(yù)編譯和綁定變量[8]。SQL語句內(nèi)需要的參數(shù)提前編譯，無論用戶輸入任何參數(shù)都不會造成語句本身的結(jié)構(gòu)變化。

（2）輸入規(guī)范化

對表中數(shù)據(jù)進行類型限制，這樣會在很大程度上減少攻擊。

4.3 DDoS攻擊

DDoS攻擊 (Distributed Denial of Service，分布式拒絕服務(wù)攻擊)，是指黑客通過一些手段在大量主機上安裝預(yù)先設(shè)計好的DDoS攻擊控制程序，通過攻擊程序?qū)χ鳈C進行一系列的惡意操作[9]。DDoS攻擊合法申請大量網(wǎng)絡(luò)資源，從而造成網(wǎng)絡(luò)癱瘓。

針對DDoS，一般可以采用以下方法進行防護：

（1）增加帶寬

將流量分散到多個服務(wù)器上，進行均衡，避免大流量長時間占用服務(wù)器。

（2）鎖定DNS服務(wù)器

確保DNS服務(wù)器以及網(wǎng)站和其他資源都處于負載均衡的保護狀態(tài)下，也可以使用專業(yè)公司提供的冗余DNS。

（3）配置網(wǎng)絡(luò)層

確保路由器能夠屏蔽垃圾數(shù)據(jù)包，剔除不用的協(xié)議，并且設(shè)置好防火墻。此外，可以讓供應(yīng)商進行邊界網(wǎng)絡(luò)的設(shè)置，保證能夠得到一個最大的最通暢的帶寬。

5 結(jié)語

在如今網(wǎng)絡(luò)技術(shù)飛速發(fā)展的現(xiàn)況下，各種攻擊手段。網(wǎng)絡(luò)黑客利用系統(tǒng)在不同層面的漏洞竊取用戶私人信息，嚴重損害用戶權(quán)益。我們只有了解各種攻擊手段的原理才能在根本上消除網(wǎng)絡(luò)攻擊帶來的危害。雖然，現(xiàn)如今的防御技術(shù)在不斷提升，但是仍有很多不足，需要進一步的改進與提高，為網(wǎng)絡(luò)用戶提供安全可靠的網(wǎng)絡(luò)環(huán)境。

[1] 楊濤,劉錦德.Web Services技術(shù)綜述——一種面向服務(wù)的分布式計算模式[J].計算機應(yīng)用,2004(08):1-4.

[2] Sihyun Jeong,Jaehoon Lee,Junhyun Park,Chong-kwon Kim.The Social Relation Key: A new paradigm for security[J].Information Systems. 2017,71

[3] 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心。2016 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[R]。2017 年 4 月

[4] 日昇月恒, XSS的原理與分類[EB/OL], (2015-07-01)[2017-01-09],http://blog.csdn.net/hitwangpeng/article/details/46928175.

[5] 古開元,周安民.跨站腳本攻擊原理與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(12):19-21.

[6] 譚彬,楊明,梁業(yè)裕,寧建創(chuàng).Web安全漏洞研究和防范[J].通信技術(shù),2017,50(04):795-802.

[7] 劉岳,盛杰,尹成語.WEB應(yīng)用中SQL注入攻擊與防御策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(04):109-111.

[8] 陳業(yè)雄. 面向AJAX架構(gòu)Web服務(wù)的攻擊和防御[D].電子科技大學(xué),2008

[9] 王希斌,廉龍穎,高輝,郎春玲.網(wǎng)絡(luò)安全實驗中DDoS攻擊實驗的實現(xiàn)[J].實驗科學(xué)與技術(shù),2016,14(01):68-71.