WEB安全評估與防護

摘要：隨著WEB 應用的快速發展，WEB 應用中所存在的安全問題也暴露得越來越明顯。本文對WEB 安全評估與傳統評估服務的區別以及評估流程、WEB 應用中常見的幾種威脅分別做了介紹，并詳細講解了WEB 安全評估方式與防護策略的應用。

關鍵詞：WEB；安全；評估；防護

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 (2012) 14-0080-01

服務提供方對減少客戶端開發成本和維護成本的一直有著很高的期望，伴隨著用戶對客戶端的便利性的需求，促使更多的應用向B/S（瀏覽器/ 服務器）結構發展。用戶對頁面展現效果以及其易用性的需求的逐步提升也推動了WEB 2.0 技術廣泛應用，這樣暴露出來的越來越多的安全問題就成了WEB應用快速發展產生的負面影響。

一、概述

WEB安全評估針對當前突出的WEB 安全問題分別從外部和內部進行黑盒和白盒安全評估。基于WEB多層面結構的特性，針對每一個特定層面進行綜合關聯分析和評估，從而找出WEB站點中面臨威脅的安全問題與隱患。

二、面臨的威脅

（一）跨站腳本

跨站腳本攻擊全也稱為XSS。此漏洞是由于指攻擊者利用網站程序對用戶輸入過濾不足，使得攻擊者精心構造的惡意腳本在普通用戶的瀏覽器中得到執行，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害。在今天WEB 2.0的時代，跨站腳本漏也很有可能在被蠕蟲利用的情況下，進行大規模的危害很大的攻擊，。

（二）注入攻擊

注入攻擊中最常見的是SQL 注入，此攻擊類型是由于在沒有對內容進行嚴格驗證的情況下使用應用程序。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入，并且進行未授權的數據修改，從而對WEB站點造成很大的安全威脅。

（三）越權操作

越權攻擊是由于程序員對頁面的管理權的審定不完善，從而造成的使攻擊者利用潛在漏洞在無需得到用戶或管理員的密碼的情況下即可訪問的漏洞。越權操作可以按獲得的權限所在的層級結構分為水平越權和垂直越權。

水平越權：指的是攻擊者利用的同樣級別的用戶權限獲得了其它同樣權限級別用戶的數據，這種越權在同等級權限的情況下，所以稱之為水平越權。這種越權往往會導致用戶信息泄露，或者被惡意篡改，重要數據丟失。

垂直越權：值得是攻擊利用低等級權限的用戶獲得了高于當前級別的權限，因為這種越權跨越權限等級，所以稱之為垂直越權。這種越權因為攻擊者獲得了很高的權限，甚至網站服務器的管理員權限，其危害不言而喻。

（四）文件上傳

文件上傳漏洞指：開發人員編寫應用程序時，未對用戶上傳的文件擴展名進行嚴格檢查，從而導致攻擊者上傳webshell，獲取到網站的權限。文件上傳大多數是由于開發人員的疏忽或者對安全的理解不深引發的。例如：開發人員只過濾了asp 擴展名的文件，而未asa、cer 擴展名的文件，而asa、cer 擴展名的文件也會被asp.dll 解析，從而導致webshell 被上傳。

（五）信息泄露

信息泄漏大致分為兩類：一類是由于應用程序編寫時對錯誤處理方式考慮不全面，使得用戶提交非法數據時應用程序報錯，在錯誤信息中可能包含大量操作系統版本、WEB 服務器版本、網站在服務器上的絕對路徑等敏感信息。此類型漏洞攻擊者可能無法直接利用，但和其他漏洞結合起來，就會對成功入侵起到很大的幫助。

（六）第三方應用程序安全性

由于互聯網已經發展的很成熟，很多開發人員在開發某些模塊時可能會上網搜索一些現成的代碼，將其加入到自己的程序中，但由于網絡上開發人員的水平層次不齊，很多代碼的安全性很差，而開發人員將這些程序嵌入到自己的程序中，會導致安全問題產生，如fckeditor、ewebeditor 等應用程序在歷史上就發現過很多漏洞，成為很多攻擊者的突破口。

三、評估方式

（一）外部評估

外部評估是指測試人員由外部發起的、針對服務器和應用服務的遠程評估工作，主要模擬來自外部的惡意掃描等行為，以此發現暴露于網絡上的安全問題。

（二）內部評估

內部評估是指從內部發起針對服務器配置、策略及代碼本身的安全檢查。相對外部安全的黑盒測試方式來講，內部評估更近似于白盒測試，注重功能性及安全性的檢查，從根源上發現所存在的隱患。

四、防護策略

WEB網站的安全防護相較于信息系統的安全防護相類似，也涉及到多個層面：通用軟件、一般服務組件如數據庫、常用軟件、系統層面、網絡層面等、特定應用，相較于前三類防護手段是類似的。

因此，對WEB 應用程序的防護并不能單單考慮被動的、通用的防護方式，而需要以更為主動的方式進行，如在程序的設計過程中功能安全性的考慮，在開發過程中的安全測試及上線前的代碼審計等工作。通過這樣一系列工作將安全滲透到每一個環節中，增加安全的主動性，以此達到應用程序的安全、穩定。

參考文獻：

[1]劉壯業，姚鄭.面向服務架構若干關鍵問題研究[J].計算機工程與設計，2009，(03).

[2]沈祥，方振宇.面向服務架構的研究[J].計算機技術與發展，2009，(02).

[3]尋大勇.基于面向服務架構(SOA)的電子政務[J].中國管理信息化，2009，(09).

[4]李曉飛，袁立群，張平.跨地域分布式面向web安全性控制系統架構研究[J].財經界(學術版)，2009，(12).

[作者簡介]易文平（1984-），江西宜春人，宜春學院助教，學士，主要從事計算機教學與研究。