沈子雷

摘? ?要：隨著Web應(yīng)用系統(tǒng)的不斷普及，越來越多的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)，給人們的工作和生活都造成了極大的威脅。Web安全漏洞可以分成基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞和基于Web平臺的網(wǎng)絡(luò)安全漏洞兩種。文章通過闡述這兩種網(wǎng)絡(luò)安全漏洞的現(xiàn)狀及安全誤區(qū)，總結(jié)幾種常見的安全漏洞攻擊方法，并提出有效措施以防范黑客攻擊漏洞，維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

關(guān)鍵詞：Web應(yīng)用;網(wǎng)絡(luò)安全漏洞;發(fā)現(xiàn)與研究

現(xiàn)階段，計算機(jī)網(wǎng)絡(luò)發(fā)展飛速，各大企業(yè)都開始利用Web系統(tǒng)工作，為企業(yè)提供了有效的信息管理支持。Web系統(tǒng)的廣泛應(yīng)用引起了很多黑客的注意，黑客利用網(wǎng)站系統(tǒng)的漏洞篡改網(wǎng)頁內(nèi)容，常見的方式有跨站腳本攻擊、偽造跨站請求、結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入攻擊等，基于Web應(yīng)用的網(wǎng)絡(luò)安全面臨著嚴(yán)重的威脅。本文將對Web的現(xiàn)狀進(jìn)行分析，并對各種安全漏洞進(jìn)行研究，最后提出相應(yīng)的防范網(wǎng)絡(luò)安全漏洞的措施，有效防范黑客的漏洞攻擊行為，讓基于Web應(yīng)用的網(wǎng)絡(luò)系統(tǒng)更加安全[1]。

1? ? 基于Web應(yīng)用的網(wǎng)絡(luò)安全概述

1.1? 基于Web應(yīng)用的網(wǎng)絡(luò)安全現(xiàn)狀

計算機(jī)網(wǎng)絡(luò)技術(shù)在不斷改進(jìn)，Web應(yīng)用也在不斷地更新?lián)Q代，各種安全漏洞層出不窮。根據(jù)中國國家信息安全漏洞庫（China National Vulnerability Database of Information Security，CNNVD）收集的各種漏洞調(diào)查，漏洞的數(shù)量隨著實踐的推移不斷地增長，其中跨站腳本攻擊、SQL注入攻擊兩種漏洞較為廣泛，而且對網(wǎng)絡(luò)安全的影響非常大，占據(jù)了網(wǎng)絡(luò)漏洞中的主力，可以說是Web發(fā)展史上的里程碑。黑客通過網(wǎng)絡(luò)站點(diǎn)操作系統(tǒng)的漏洞，將SQL注入系統(tǒng)中，獲得服務(wù)器的控制權(quán)限，然后就可以更改網(wǎng)站中網(wǎng)頁的內(nèi)容，更嚴(yán)重的情況是在其中注入惡意代碼，讓訪問網(wǎng)頁的用戶受到侵害。所以網(wǎng)絡(luò)用戶非常重視網(wǎng)頁安全問題，對整個Web系統(tǒng)的安全也更加關(guān)注?；赪eb的網(wǎng)絡(luò)安全問題逐漸由服務(wù)器的腳本安全升級為整個瀏覽器的安全，加強(qiáng)對瀏覽器安全漏洞的防范是目前互聯(lián)網(wǎng)行業(yè)的重點(diǎn)工作內(nèi)容[2]。

1.2? 基于Web應(yīng)用的安全認(rèn)識誤區(qū)

很多用戶認(rèn)為安裝防火墻就可以將所有的網(wǎng)絡(luò)安全漏洞排除，這種想法是不正確的。隨著計算機(jī)網(wǎng)絡(luò)的不斷改進(jìn)，防火墻已經(jīng)不能滿足用戶安全上網(wǎng)的需求，不管是應(yīng)用級的防火墻還是端口級的防火墻，都是對網(wǎng)絡(luò)層面上的安全防護(hù)，并不能有效保證基于Web應(yīng)用的網(wǎng)絡(luò)安全問題。防火墻利用設(shè)置的端口對訪問進(jìn)行篩選，但是對訪問者身份的鑒別有很大的設(shè)計漏洞，導(dǎo)致其不能保證Web應(yīng)用的網(wǎng)絡(luò)安全。還有很多用戶認(rèn)為入侵檢測系統(tǒng)（Intrusion Detection System，IDS）可以讓W(xué)eb應(yīng)用網(wǎng)絡(luò)的安全問題得到解決，這種想法也是錯誤的。IDS通過識別模式進(jìn)行網(wǎng)絡(luò)層面的保護(hù)，應(yīng)用原理與防火墻相似，都不能有效防止程序漏洞和用戶允許的鏈接中的漏洞，這種漏洞識別軟件都存在一定的弊端，為了滿足用戶的使用需要不能隨意擴(kuò)大識別范圍。程序漏洞是基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞中最常見的，通過掃描計算機(jī)的系統(tǒng)來尋找漏洞這一想法是正確的。但是，在掃描以后沒有發(fā)現(xiàn)安全漏洞，用戶就認(rèn)為可以安全上網(wǎng)，這種想法是非常危險的，實際上計算機(jī)的系統(tǒng)漏洞掃描存在一定的弊端，系統(tǒng)掃描工具只能將非常明顯的漏洞掃描出來，對于自身存在的漏洞或是一些微小的漏洞都是掃描不出來的，所以漏洞掃描能力受到多種因素的影響而相對較弱[3-4]。

2? ? 常見的基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞形式

2.1? 跨站腳本攻擊

跨站腳本攻擊就是黑客將超文本標(biāo)記語言代碼在不知不覺中加入到Web網(wǎng)頁中，用戶每次瀏覽網(wǎng)頁的時候，就會觸發(fā)超級文本標(biāo)記語言（Hyper Text Markup Language，HTML）代碼，進(jìn)而進(jìn)行網(wǎng)絡(luò)攻擊?？缯灸_本攻擊通常被用于盜取機(jī)密或用戶個人信息，在博客、郵箱、論壇上應(yīng)用較多。在如今計算機(jī)軟件的開發(fā)中，很多設(shè)計人員為了讓用戶得到更好的體驗，在網(wǎng)頁中經(jīng)常會設(shè)置動態(tài)內(nèi)容，其大多數(shù)是通過客戶端的腳本進(jìn)行設(shè)計的，黑客往往抓住一個設(shè)計要點(diǎn)，對其腳本實施攻擊，就會形成安全漏洞[5]。

2.2? 偽造跨站請求

偽造跨站請求的攻擊方式與跨腳本攻擊不同，是偽造用戶盜取網(wǎng)站信息。很多網(wǎng)站在使用的過程中，為了增加用戶的瀏覽量，設(shè)計的訪問請求比較簡單，而攻擊者會利用用戶的請求授權(quán)，在網(wǎng)頁中添加非法鏈接或腳本，進(jìn)而獲得網(wǎng)頁管理的權(quán)限，盜取網(wǎng)頁中的用戶信息并對網(wǎng)站造成損害，網(wǎng)頁式的攻擊方式嚴(yán)重泄露用戶的信息，破壞力極強(qiáng)。很多入侵者就是通過瀏覽器中的銀行網(wǎng)頁偽造跨站請求，然后騙取管理員的權(quán)限，盜取用戶的各項信息，對用戶的財產(chǎn)造成非常嚴(yán)重的損失。

2.3? SQL注入攻擊

SQL注入攻擊是一種針對數(shù)據(jù)庫進(jìn)行攻擊的新型計算機(jī)網(wǎng)絡(luò)攻擊方式。程序員有很多個人習(xí)慣和編程技巧，在編程的過程中難免會有漏洞。網(wǎng)絡(luò)攻擊者正是根據(jù)編程者的漏洞，注入SQL，盜取數(shù)據(jù)庫中的用戶信息。

2.4? Cookie欺騙漏洞

儲存在用戶本地終端上的數(shù)據(jù)（Cookie）技術(shù)能給用戶提供更加便利的瀏覽方式，避免用戶多次在同一個瀏覽器中輸入密碼。按規(guī)定，只有同一個域名的Cookie才能被讀寫。攻擊者利用服務(wù)器給用戶提供Cookie的空檔對其進(jìn)行更改，使服務(wù)系統(tǒng)不易察覺，進(jìn)而對Web應(yīng)用系統(tǒng)進(jìn)行入侵并獲得控制權(quán)限，盜取用戶的各種信息數(shù)據(jù)。Cookie欺騙漏洞包含很多不同方式的入侵，有的直接跳過瀏覽器對系統(tǒng)的信息數(shù)據(jù)進(jìn)行改寫，有的修改瀏覽器，使瀏覽器能夠在本地讀取任意域名Cookie，還有的欺騙瀏覽器，讓瀏覽器獲取假域名等，通過各種方式進(jìn)行Cookie欺騙，以致用戶的個人信息和相關(guān)數(shù)據(jù)遭到泄露。

2.5? 緩沖區(qū)溢出漏洞

緩沖區(qū)溢出漏洞是指用戶在進(jìn)行Web系統(tǒng)的應(yīng)用中，發(fā)出一個非常復(fù)雜的請求，但是系統(tǒng)卻無法對這個請求做出有效處理時出現(xiàn)的漏洞。在用戶發(fā)出超長請求后，系統(tǒng)會自動進(jìn)行數(shù)據(jù)的檢測，然后拒絕超長請求。在這個過程中，很多程序設(shè)計的數(shù)據(jù)長度都是與存儲空間相匹配的，因而會造成很長的緩沖期，在緩沖期很容易出現(xiàn)安全漏洞。攻擊者會在Web操作系統(tǒng)各個指令進(jìn)入堆棧的時候?qū)嵤┓欠ㄊ跈?quán)的指令，進(jìn)而獲得整個系統(tǒng)的控制權(quán)限，執(zhí)行非法操作。緩沖區(qū)溢出漏洞的現(xiàn)象非常普遍，很多計算機(jī)系統(tǒng)都會遇到這種漏洞。所以，平時加強(qiáng)對系統(tǒng)的管理和更新，避免緩沖期的出現(xiàn)是非常重要的。

3? ? 基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞有效防范措施

出現(xiàn)基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞的原因在于很多黑客利用應(yīng)用程序中的問題點(diǎn)進(jìn)行攻擊，通過跨站腳本、偽造請求等形式盜取系統(tǒng)中的用戶信息，或獲得更多的系統(tǒng)權(quán)限來謀取個人利益。漏洞對人們的工作和生活有一定的危害，而且不容易被發(fā)現(xiàn)，所以在使用Web系統(tǒng)的時候應(yīng)該注重對系統(tǒng)漏洞的防范，讓不法分子沒有可乘之機(jī)。

3.1? 在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞前的有效防范

為了有效避免Web網(wǎng)絡(luò)系統(tǒng)中的漏洞，要定期檢測系統(tǒng)，并不斷升級檢測的程序和功能，優(yōu)化檢測工具，盡量使用并行式的漏洞檢測方法進(jìn)行漏洞檢測。對于線上的Web系統(tǒng)也要不斷優(yōu)化，讓開發(fā)者在系統(tǒng)上線前進(jìn)行各方面的詳細(xì)檢測，減少漏洞出現(xiàn)的概率。比如，在SQL注入漏洞的防范中，開發(fā)人員應(yīng)該在輸入、查詢以及權(quán)限訪問方面進(jìn)行有效的控制。大部分SQL注入漏洞都是由單引號造成的，攻擊者通常在原有的數(shù)據(jù)中插入單引號進(jìn)行匹配，然后更改單引號后面的輸入，所以開發(fā)者應(yīng)該注重單引號的設(shè)計，盡量在用戶的數(shù)據(jù)輸入之前進(jìn)行單引號的匹配，然后對輸入的數(shù)據(jù)進(jìn)行篩選處理，過濾一些特殊的字符，控制好數(shù)據(jù)的長度，將不同的輸入轉(zhuǎn)變成不同的種類。然后利用參數(shù)進(jìn)行數(shù)據(jù)查詢，查詢的前提是系統(tǒng)具有固定的查詢結(jié)構(gòu)，利用參數(shù)進(jìn)行預(yù)先占位符，用用戶輸入的數(shù)據(jù)填滿占位符，有效確定查詢結(jié)構(gòu)的形式，這樣即使攻擊者對數(shù)據(jù)進(jìn)行破壞，也不能影響查詢結(jié)構(gòu)。根據(jù)用戶的需求合理設(shè)計訪問權(quán)限，對用戶的信息保密，管理好整個系統(tǒng)的數(shù)據(jù)信息。

3.2? 在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞時的防范

當(dāng)Web系統(tǒng)出現(xiàn)漏洞時，應(yīng)該立即啟動事先準(zhǔn)備好的漏洞防護(hù)設(shè)備進(jìn)行有效防范，緊急修復(fù)Web系統(tǒng)，避免造成系統(tǒng)的重大損失。在制定應(yīng)急處理方案時，應(yīng)該注重考慮一些設(shè)計的細(xì)節(jié)問題，對漏洞問題進(jìn)行預(yù)判，采用最有效的方式進(jìn)行檢測和修復(fù)，將系統(tǒng)的損失降到最低。注重增加數(shù)據(jù)的保護(hù)措施，應(yīng)該采用多層加密的方式保護(hù)用戶信息，建立自動鎖定裝置，在Web系統(tǒng)中出現(xiàn)安全漏洞時，及時鎖定重要數(shù)據(jù)，避免攻擊者盜取重要信息和篡改資料。

3.3? 在網(wǎng)絡(luò)系統(tǒng)漏洞攻擊后的反思

對于Web系統(tǒng)的漏洞問題，應(yīng)該及時反思，建立信息備份，避免重要數(shù)據(jù)的丟失，完善數(shù)據(jù)信息管理的機(jī)制，更新現(xiàn)有的信息處理系統(tǒng)。

4? ? 結(jié)語

分析基于Web應(yīng)用的網(wǎng)絡(luò)安全現(xiàn)狀，闡述常見的幾種網(wǎng)絡(luò)安全漏洞，并提出有效防范網(wǎng)絡(luò)安全漏洞的措施。只有不斷升級對Web系統(tǒng)的漏洞檢測，并對基于Web的網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期優(yōu)化，在遭到系統(tǒng)入侵時及時修復(fù)，加強(qiáng)對用戶數(shù)據(jù)的保護(hù)，對網(wǎng)絡(luò)系統(tǒng)各項信息進(jìn)行有效的備份處理，才能讓基于Web應(yīng)用的網(wǎng)絡(luò)安全問題得到妥善處理。希望本研究對相關(guān)的網(wǎng)絡(luò)系統(tǒng)安全維護(hù)人員有所裨益，使其加強(qiáng)網(wǎng)絡(luò)的安全檢查，及時修復(fù)網(wǎng)頁漏洞，努力創(chuàng)建健康安全的上網(wǎng)環(huán)境。

[參考文獻(xiàn)]

[1]張浩，項朝君，陳海濤，等.計算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用[J].電子元器件與信息技術(shù)，2019（9）：35-37.

[2]糜小夫，馮碧楠.計算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用分析[J].信息通信，2019（2）：207-208.

[3]沈文婷，丁宜鵬，郭衛(wèi)，等.計算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用研究[J].科技與創(chuàng)新，2018（1）：154-155.

[4]王丹，趙文兵，丁治明.Web應(yīng)用常見注入式安全漏洞檢測關(guān)鍵技術(shù)綜述[J].北京工業(yè)大學(xué)學(xué)報，2016（12）：62-72.

[5]文碩，許靜，苑立英，等.基于策略推導(dǎo)的訪問控制漏洞測試用例生成方法[J].計算機(jī)學(xué)報，2017（12）：2658-2670.

Discovery and research of network security vulnerability based on Web application

Shen Zilei

（Xinyang Agriculture and Forestry University， Xinyang 464000， China）

Abstract：With the increasing popularity of web application systems， more and more network security vulnerabilities have been discovered， which pose a great threat to peoples work and life. Web security vulnerabilities can be divided into two types： web application-based network security vulnerabilities and web platform-based network security vulnerabilities. This paper expounds the current situation of these two kinds of network security vulnerabilities and security misunderstandings， summarizes the common methods of attacking security vulnerabilities， and puts forward effective measures to prevent hackers from attacking vulnerabilities and maintain the security of network systems.

Key words：Web application; network security vulnerability; discovery and research