WEB安全評估與防護方法和思路分析

摘 要：隨著 WEB 應用的快速發展，WEB 應用中所存在的安全問題也暴露得越來越明顯。 本文對 WEB 安全評估與傳統評估服務的 區別以及評估流程、WEB 應用中常見的幾種威脅分別做了介紹，并詳細講解了WEB安全評估方式與防護策略的應用。

關鍵詞：WEB 安全 評估 防護

一、引言

隨著用戶對客戶端便利性的要求，加上服務提供方對減少客戶端開發成本和維護成本的期望，越來越多的應用已經轉為 B/S（瀏覽器 / 服務器）結構。由于用戶對頁面展現效果和易用性的 要求越來越高，WEB 2.0 技術的應用越來越廣泛，這樣不但促進了 WEB 應用的快速發展，同時也使 WEB 應用中所存在的安全問題越來越明顯的暴露出來。

在這種背景條件下，除了越來越多的站點因安全問題而被攻擊 者攻陷，導致重要信息泄漏，甚至成為傀儡主機，大量傀儡主機被攻擊者利用發動 DDOS（分布式拒絕服務攻擊）。客戶端也面臨著很多安全問題，惡意頁面的垃圾信息傳播、網頁掛馬導致的惡意程序的傳播等等。

二、概述

1.什么是 WEB 安全評估。WEB 安全評估主要在客戶的WEB平臺上，針對目前流行的 WEB 安全問題分別從外部和內部進行黑盒和白盒安全評估。

根據 WEB 多層面組成的特性，通過對 WEB 的每一個層面進 行評估和綜合的關聯分析，從而查找 WEB 站點中可能存在的安全問 題和安全隱患。

2.WEB安全評估與傳統評估服務的區別。與傳統的系統層面的評估不同，WEB 站點的安全評估更加注重 “關聯性”。

在傳統的系統層評估中，評估方向以系統自身安全性和策略的完善程度作為主要的評估方向，目標僅在于揭露系統配置上的缺陷。

而在 WEB 站點評估中，除了需要關注系統層面的安全問題外，還需要關注系統組件及第三方應用程序設計的安全性。而在WEB站點中，安全問題也不再像系統安全問題那樣只具備單一的層面，而是多個層面疊加產生，因此 WEB 安全評估還需要更加注重各個層面安全問題的關聯性，將這些問題進行必要的關聯分析后來確認WEB站點整體的風險。

從這方面來說，WEB安全評估從人力到技術等各個方面的投入 都要大于傳統的系統安全評估，而其所能發掘的問題也是多層面的。

三、面臨的威脅

1.跨站腳本。跨站腳本攻擊全稱為 Cross Site Script，一般縮寫為 XSS。此漏洞是由于應用程序在服務器端獲取用戶提交的數據時，沒有對內容進行驗證，使得攻擊者精心構造的惡意腳本在普通用戶的瀏覽器中得到執行，除了可以竊取其他用戶、管理員的Cookie外，還可以 進行掛馬，使得更多的訪問者感染惡意代碼。在WEB 2.0技術流 行的今天，跨站腳本漏洞還有可能被蠕蟲利用，進行大規模的攻擊，危害很大。

此類漏洞的根本原因是，開發人員在編寫應用程序時，對用戶提交的數據過濾不夠嚴格，或者未過濾。由于考慮在實際開發中需要過濾的內容比較多，可能會有遺漏，因此我們建議開發人員在對用戶輸 入的變量進行檢查時，使用白名單方式，即檢查用戶傳入的變量是否 是系統允許的類型，如果不是，就提示錯誤，直到用戶傳入合法的數據。

2.注入攻擊。注入攻擊中最常見的是 SQL 注入，此攻擊類型是由于應用程序 在服務器端獲取用戶提交的數據時，沒有對內容進行嚴格驗證，就拼接到 SQL 語句中執行。攻擊者可以精心構造特定的 SQL 語句使服務器執行，從而進行未授權的數據修改，甚至在數據庫服務器上執行系統命令，對 WEB 站點的安全造成嚴重威脅。

此類漏洞的根本原因是，開發人員在編寫應用程序時，未使用安全的方式執行 SQL 查詢，而使用了拼接的方式將變量輸入到 SQL語句中。防范 SQL 注入的最好方法是，修改應用程序代碼，使用安全的方式執行 SQL 查詢，例如 ： 使用 PreparedStatement 方式。

3.越權操作。越權操作通常是由于應用程序在編寫時，對身份驗證部分考慮的不全面。越權操作可以分為水平和垂直兩個方面：

水平越權是指 ： 部分頁面未對訪問者的角色進行嚴格檢查，A 用 戶可能利用應用程序的漏洞，可以訪問到 B 用戶的數據，進行越權 查看，修改，甚至刪除。此類越權操作可能導致用戶信息泄漏，或 者被惡意篡改，嚴重影響網站的形象。如果發生在存放有重要數據 的系統中，可能會導致直接或間接經濟損失，甚至引發法律糾紛。

垂直越權是指 ： 部分頁面未對訪問者的角色進行嚴格區分，普通用戶可能利用應用程序的漏洞，將自己提升到高一級用戶的權限， 例如管理員權限。此類越權操作可能導致管理員權限泄漏，攻擊者 用管理員權限進行一些非法操作，嚴重影響數據的安全性。如果管 理員后臺合并有其他漏洞，例如 ： 圖片上傳漏洞，攻擊者可以向系統 中上傳 webshell，進一步提升權限，最終獲得網站服務器的管理員 權限，危害很大。

4.文件上傳。文件上傳漏洞指 ： 開發人員編寫應用程序時，未對用戶上傳的文件擴展名進行嚴格檢查，從而導致攻擊者上傳 webshell，獲取到網 站的權限。文件上傳大多數是由于開發人員的疏忽或者對安全的理 解不深引發的。例如 ： 開發人員只過濾了asp 擴展名的文件，而未過濾 asa、cer 擴展名的文件，而 asa、cer 擴展名的文件也會被 asp. dll 解析，從而導致 webshell 被上傳。

建議開發人員在對用戶上傳的文件進行操作時，嚴格檢查擴展名，與防范 XSS 的方法類似，也使用白名單方式，例如 ： 只允許用 戶上傳 jpg、gif、bmp、zip、rar 擴展名的文件，其余擴展名的文件禁止上傳。

5.第三方應用程序安全性。由于互聯網已經發展的很成熟，很多開發人員在開發某些模塊 時可能會上網搜索一些現成的代碼，將其加入到自己的程序中，但 由于網絡上開發人員的水平層次不齊，很多代碼的安全性很差，而開 發人員將這些程序嵌入到自己的程序中，會導致安全問題產生，如 fckeditor、ewebeditor 等應用程序在歷史上就發現過很多漏洞，成 為很多攻擊者的突破口。

建議在系統上線前，要嚴格檢測每一個模塊的安全性，開發人 員盡量不隨便使用網絡上的不成熟的代碼，如果使用，使用前需要 進行嚴格的安全檢查。

類似的需要引起注意的是，很多網站的首頁都嵌入了一些應用， 而這些應用由第三方廠商提供，例如 ：XXX 客服系統，我們的網站 在引用這些應用時，需要在我們的首頁中嵌入一些代碼，如果第三方廠商的網站出現了安全問題，那么就會直接影響到我們的網站的 安全性。

建議在使用此類第三方應用程序時，一定要確認廠商的規模及資質，盡量少嵌入第三方廠商的程序，以降低風險。

四、評估方式

1.外部評估。外部評估是指測試人員由外部發起的、針對服務器和應用服務 的遠程評估工作，主要模擬來自外部的惡意掃描等行為，以此發現 暴露于網絡上的安全問題。

1.1操作系統及應用服務安全性。操作系統及應用服務器的安全性主要通過使用遠程安全評估系 統對操作系統和應用服務層面進行遠程的安全測試，例如 ： 極光遠 程安全評估系統等商業產品，測試中包含了常見的安全問題：

遠程緩沖區溢出漏洞

遠程拒絕服務漏洞

遠程身份驗證漏洞

......

1.2WEB 服務安全性。WEB 服務的外部安全性主要通過使用遠程 WEB 評估系統對站 點進行遠程的安全測試，測試中包含了常見的 WEB 安全問題：

跨站腳本漏洞

文件包含漏洞

命令執行漏洞

目錄遍歷漏洞

暴力破解漏洞

…………

此部分工作也主要使用 WEB 安全評估系統進行，由于網站上 頁面數量和連接數量較多，使用自動化工具可以明顯提高工作效率，防止遺漏。而且 WEB 安全評估系統都內置了大量的插件，對已知的 WEB 安全漏洞可以快速發現。

除了使用 WEB 安全評估系統外，還需要人工進行輔助分析， 一方面需要確認自動化工具掃描結果的準確性，是否誤報 ； 另一方面 需要對一些工具無法檢查的地方進行補充，最大化的發現網站存在 的問題。

2.內部評估。內部評估是指從內部發起針對服務器配置、策略及代碼本身的安全檢查。相對外部安全的黑盒測試方式來講，內部評估更近似于 白盒測試，注重功能性及安全性的檢查，從根源上發現安全隱患。

2.1系統安全策略檢查。針對操作系統層面，使用安全策略檢查工具進行檢查，需要檢查的內容如下：

用戶管理 ： 是否有多余用戶，例如 ： 開發用戶，測試用戶

口令策略 ： 是否設置口令策略，強制用戶使用強壯的密碼

不必要服務 ： 是否存在不需要的網絡服務，例如 ：DHCP、DNS、FrontPage 擴展

共享連接 ： 是否存在不需要的共享連接 ： 例如 ：windows 默認共享，unix 的 NFS 共享

文件系統 ： 是否使用可靠的文件系統，例如 ：NTFS 文件系統

權限設置 ： 是否對網絡服務的配置文件進行了正確的設置，防止非 法用戶篡改，提權

訪問控制 ： 是否對訪問者的 IP 地址進行了限制

審計設置 ： 是否對網絡服務啟用了審計，審計日志的權限是否進行 了正確的設置

2.2WEB 服務配置檢查。除了操作系統外，還需要對 WEB 服務的配置進行檢測，需要檢查的內容如下：

WEB 服務的運行身份是否正確設置

WEB 服務是否設置了必要的 ACL

WEB 服務是否對隱秘頁面使用 SSL 傳輸加密

WEB 服務是否加強了日志記錄內容

WEB 服務是否進行了嚴格的權限設置

…………

2.3數據庫安全檢查。網站評估中對數據庫權限進行檢測，是為了查看數據庫中權限 是否得到了正確的設置，一方面保護數據庫中數據的安全，防止未 授權用戶訪問 ； 另一方面防止數據庫出現安全問題后，進一步影響數 據庫服務器操作系統的安全，需要檢查的內容如下：

數據庫是否為應用程序建立了單獨的賬號，避免應用程序使用數據庫管理員等高權限的用戶訪問數據庫。

數據庫是否為各個用戶劃分了角色，使不同的用戶訪問數據庫對象 時權限有所區分。

對不用的用戶和角色賦予權限時，是否只賦予了最低的權限。

是否啟用了訪問控制列表 ACL，防止無關用戶連接數據庫端口。

2.4代碼安全性檢查。

2.4.1掛馬檢測。攻擊者在發現網站存在漏洞，進行利用，獲得一定權限后，向 動態網頁文件或數據庫中添加特定的字符串，正常用戶在訪問該網 頁后，執行惡意代碼，可能導致感染病毒。在網站評估中需要對網 站的所有頁面進行檢測，確認是否有特定的惡意字符串被插入。

此類檢查可以使用一些網絡安全產品完成，如 ： Web 應用防火墻或者 Web掃描。

2.4.2WebShell檢測。WebShell 是站長用于管理服務器的一種 asp/aspx/php/jsp 等 應用程序，可以進行在線編輯文件、上傳下載文件、查看數據庫、 執行任意程序命令等操作。如果被攻擊者利用，可以控制服務器。 通常攻擊者在發現應用程序有漏洞時，會嘗試上傳 WebShell，因此 在網站安全評估中需要對網站所在目錄中可能存在的 WebShell 進行檢測。

此類檢查可以使用一些網絡安全產品完成。如 ： Web 應用防火墻或者 Web掃描。

2.4.3代碼審計。代碼審計在安全開發中是很重要的一個環節，遠程漏洞掃描和 滲透測試只是黑盒測試，對很多漏洞可能無法檢測。目前國內大多 數企業的測試部門由于對安全的理解不深，在傳統軟件質量測試中 無法發現代碼中存在的安全問題。

進行一次成功的代碼審計不僅可以發現應用程序編寫時產生的安 全漏洞及不規范的代碼，督促開發人員及時修正。同時也能提高開發人 員的素質，從而提升應用程序的質量。

五、防護策略

作為信息系統的一個典型應用，網站的安全防護與信息系統一 樣，涉及的層面比較多，可分為網絡層面、系統層面、一般服務組件如數據庫、通用軟件、常用軟件等、特定應用，對于前三類防護 手段是通用的，我們使用的是傳統的防護技術。

對網絡、通信協議、操作系統、數據庫等層面上的防護可以認為是通用的，傳統的邊界安全設備，如防火墻、安全網關、IDS /IPS、 審計產品、終端防護產品等，作為網站整體安全策略中不可缺少的 重要模塊，其防護效果是比較有效的。

但在對 WEB 站點采用傳統技術手段進行安全防護的同時，也要充分考慮如何針對用戶特定應用的應用層面脆弱性及威脅進行安 全保障。由于 WEB 應用程序本身具備個性化的特點，因此如果需 要減少 WEB 應用程序本身所面臨的威脅，僅僅依靠通用產品就顯 得多少有些力不從心了。

因此，對 WEB 應用程序的防護并不能單單考慮被動的、通用的 防護方式，而需要以更為主動的方式進行，如在程序的設計過程中功能安全性的考慮，在開發過程中的安全測試及上線前的代碼審計等工作。通過這樣一系列工作將安全滲透到每一個環節中，增加安全的主動性，以此達到應用程序的安全、穩定。

作者簡介：高陽（1988—），男，國網新疆電力公司信息通信公司，助理工程師，畢業于東北電力大學，主要研究方向為信息安全及技術；靳揚（1991—），男，國網新疆電力公司信息通信公司，畢業于北京理工大學，主要研究方向為信息安全及技術；孔振（1988—），男，國網新疆電力公司信息通信公司，助理工程師，畢業于哈爾濱工業大學，主要研究方向為信息安全及技術；李浩升（1993—），男，國網新疆電力公司信息通信公司，畢業于中南大學，主要研究方向為信息安全及技術；姚偉（1984—），男，北京神州綠盟科技有限公司，安全顧問，畢業于北京建筑工程學院，主要研究方向為信息安全及技術。