Web安全淺析

賈思超

摘 要：本文論述了在當前的網絡環境中，網站安全所處的一個安全位置，著重介紹了網站所面臨的一些威脅和對消滅威脅的一些手段。

關鍵詞：web；網站；安全

1、web安全的興起

Web是互聯網的核心，也是未來云計算和移動互聯網的最佳載體，因此web安全也是公司安全業務中最重要的組成部分。因為web安全的重要性，所以web也是黑客攻擊的主要所在。Web的攻擊技術的發展也可以分為幾個階段。期初人們更多的是關注服務器端的動態腳本的安全問題，比如將一個可執行腳本上傳到服務器上，從而獲得權限。緊接著就是SQL注入攻擊的出現，這種攻擊可以說是web安全史上的一個里程碑，通過SQL注入攻擊，可以獲取很多重要的資料、敏感數據，甚至能夠通過數據庫獲取系統的訪問權限，所以web攻擊一下子就流行了起來。

2、Web攻擊手段

目前主流的web攻擊手段比較多，比如網絡蠕蟲攻擊、跨站腳本攻擊、掛馬攻擊、cookie攻擊、拒絕服務攻擊、釣魚攻擊、SQL注入攻擊，其中大多數的攻擊核心就是web服務器存在漏洞。主要的一個流程，并且是最常用的一個流程就是通過攻擊web應用，間接的攻擊web平臺，然后通過提權的方式獲取最高權限，達到最終攻擊數據庫的目的，提取有用的數據。

圖1：web攻擊圖

2.1 SQL注入攻擊

這種攻擊手段是攻擊者經常利用的手段之一，在網站和應用程序編寫的時候，很多程序員因為沒有考慮到安全問題，對程序語言的語法沒有經過細心的審核，使得代碼存在風險，這就給攻擊者留下了攻擊的途徑，攻擊者首先通過自己提供的一些數據來判斷是否可以進行SQL注入攻擊，發現了web服務器存在的漏洞以后，進行注入攻擊，然后提權，最終掌控數據庫。

2.2其他攻擊手段

除了以上攻擊手段以外，還有很多攻擊方法，比如跨站攻擊（XSS攻擊），攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。網站掛馬，導致用戶形象被破壞：攻擊者通過在正常的頁面中（通常是網站的主頁）插入一段代碼，上網者在打開該頁面的時候，這段代碼被執行，然后下載并運行某木馬的服務器端程序，進而控制上網者的主機。等一些攻擊方法。

3、Web安全防護手段

Web攻擊的核心就是網站存在漏洞，因此圍繞這個核心，web安全防護可以分為三個階段，首先就是攻擊發生之前，對網站存在的漏洞進行掃描并且進行解決。其次就是在web攻擊發生的時候能夠及時的阻斷攻擊行為，保證網站的安全。最后就是在攻擊行為發生了以后，保證內部數據的安全，確保不會因為攻擊行為而造成數據的泄露。

3.1攻擊發生前

在攻擊沒有發生的時候，可以通過一系列的手段減少web服務器存在的漏洞數，比如在網站建設前期，使用安全的代碼編寫方式，就可以減少漏洞存在的數量，如果web服務器已經上線，那么可以通過一些安全的掃描產品，對web服務器進行安全掃描，主動的發現web存在的漏洞情況，然后根據掃描結果對存在的漏洞進行修復，達到減少漏洞的目的。

3.2攻擊發生時

在整個安全防護過程中，攻擊發生前的防護行為，是從根本上解決web攻擊，但是實際情況下，漏洞是沒有辦法做到百分之百的修復的，因此攻擊正在發生的時候，采取在線防護的手段是必不可少的web防護。

在攻擊發生的時候，通過部署專業的web防護安全設備，來進行web服務器的在線防護，首先在網站出口處，可以通過抗拒絕服務設備，來進行DDoS攻擊的防護，確保web服務器不會受到DDoS、DoS攻擊，確保網站能夠持續運行，而且避免網絡出口的堵塞。其次在web服務器前端部署專業的web防護產品，對web服務器進行專業的防護，實時過濾HTTP請求中混雜的網頁攻擊流量（如SQL注入、XSS等），保證網頁處于健康狀態，避免網頁篡改、網頁存在釣魚鏈接、網頁被掛馬等現象。

3.3攻擊發生后

攻擊發生后，能夠采取一定的措施，保證即使攻擊者攻入到內部網絡，也無法對重要的數據和敏感信息進行操作和盜取，比如一些非法下載的限制，webshell的防護，敏感數據的過濾等，通過一整套的攻擊前、攻擊時、攻擊后的防護手段，可以確保網站的安全性提高很大的空間，有效減少因為web遭受攻擊而帶來的巨大損失。

4、總結

就目前的web安全防護現在而言，已經初步進行了web安全的規劃，但是安全是一個長期的過程，需要與時俱進，掌握最新的安全防護方法，及時進行web安全的防護，才能有效的保證web服務的安全性。

對于web的安全，除了一些防護手段以外，一個良好的運維習慣和工作習慣也很重要，在平常內部辦公的時候，注意安全操作習慣，在運維web服務器的時候，養成良好的配置習慣，都可以保證web的安全性。

參考文獻：

[1]吳翰清.白帽子講web安全[M].北京：中國電力出版社，2003

[2]陳建平.Web前端黑客技術揭秘[M].電子工業出版社，2013.1

[3]丁建偉.網站入侵與腳本攻防修煉[M].肖遙出版社，2008.2