淺談Web應用的網絡安全

（河北農業大學，理工學院 河北 滄州 061100）

郝雅倩，劉衛凱，鄭 晗，王棟軒（通訊作者）

1 引言

Web技術在商業活動上的使用創造下了舉世矚目的成就。此外Web服務技也普及于日常生活。新興技術的出現通常是不完善的，伴隨Web應用技術出現的是網絡黑客的關注。他們尋找應用中的漏洞，趁虛而入，從而操縱Web服務器。通過修改web內容、傳播代碼等方式攻擊用戶。伴隨著Web技術的興起與發展，安全問題備受矚目。

2 Web服務的定義

從非服務端使用者的方向來講，Web服務是一種基于Web的對象/組件，也就是通過Web來調用API對使用者提供服務。客戶用編程的形式通過Web來調用Web service。而Web service則是通過協議來創建分布式應用程序[1]。

3 發展現狀

根據調查數據顯示，社交網絡服務和社交媒體迅速改變了互聯網使用的面貌，現在許多支持在線社交互動的公司可以收集大量的社會信息,開發新的服務[2]。

隨著人們安全意識的增加，基礎防范技術逐漸成熟。于是，黑客將注意力轉變到Web應用端上。根據CERT/CC提供的2016年國內互聯網網絡安全態勢分析，2016年主要網絡威脅為移動互聯網惡意程序和惡意APP、DDOS攻擊、程序漏洞以及網站安全等[3]。現階段，按惡意行為進行分類，黑客利用網絡攻擊主要實現流氓行為、惡意扣費、資費消耗等。

黑客技術的提升給網絡用戶帶來很大的危害。但是，如今反網絡入侵技術的研究也越來越多。并且，國家近些年設定的安全方面的法律日益完善。

4 常用攻擊手段及防御手段

4.1 XSS跨站攻擊

XSS又稱CSS（Cross Site Script，跨站腳本攻擊），是指攻擊者將特殊HTML代碼放入指定Web頁面內，當使用者點擊該網頁進行閱讀時，惡意代碼自動執行，以此來攻擊用戶[4]。

XSS攻擊屬于被動方式。攻擊者需要先構建一個具有跨站的網頁，或者是一個電子郵件。一旦用戶點擊鏈接，則觸發對被攻擊站點的頁面請求。攻擊者的請求將被送往有漏洞的網站服務器，方便攻擊者偷取登錄信息、cookies或其他的數據。

XSS主要分為三類，分別為反射型、存儲型和DOM型[5]。

針對XSS，一般可以采用以下方法進行防護：

（1）HttpOnly

HttpOnly是指在cookie中設置HttpOnly屬性，通過JavaScript腳本將無法讀取到cookie信息。嚴格來講，它不是直接對抗XSS的手段，而是XSS發生后防止用戶Cookie被劫持[6]。并不是所有的瀏覽器都支持此操作。

（2）輸入規范

規范用戶輸入的格式。例如，用戶在登錄網站時填寫用戶名、密碼，要求只能輸入一定長度的字母和數字組合。這樣可以在一定程度上讓一些特殊字符的攻擊失效。

（3）輸出過濾

輸出過濾是指用戶的變量輸出到HTML頁面時，把其中敏感的字符轉成別的編碼字符，達到過濾的目的。

4.2 SQL注入

SQL注入攻擊就是攻擊者向Query中輸入部分SQL語句，將本不應存在的數據導入到程序中，非法操作數據庫或網站，從而竊取信息。

在許多Web網站的操作系統中，當變量處理不當或篩選數據不足時，有幾率觸發SQL注入漏洞。根據網站所使用的Web腳本不同，SQL注入攻擊可分為ASP、PHP、JSP、ASPX注入等多種注入方式[7]。SQL注入攻擊不僅僅局限于SQL Server數據庫中，后臺使用Access、MYSQL等數據庫的網站等都可能存在漏洞。

預防SQL注入的方法主要有：

（1）SQL語句預編譯

避免SQL注入的最優方法是SQL語句預編譯和綁定變量[8]。SQL語句內需要的參數提前編譯，無論用戶輸入任何參數都不會造成語句本身的結構變化。

（2）輸入規范化

對表中數據進行類型限制，這樣會在很大程度上減少攻擊。

4.3 DDoS攻擊

DDoS攻擊 (Distributed Denial of Service，分布式拒絕服務攻擊)，是指黑客通過一些手段在大量主機上安裝預先設計好的DDoS攻擊控制程序，通過攻擊程序對主機進行一系列的惡意操作[9]。DDoS攻擊合法申請大量網絡資源，從而造成網絡癱瘓。

針對DDoS，一般可以采用以下方法進行防護：

（1）增加帶寬

將流量分散到多個服務器上，進行均衡，避免大流量長時間占用服務器。

（2）鎖定DNS服務器

確保DNS服務器以及網站和其他資源都處于負載均衡的保護狀態下，也可以使用專業公司提供的冗余DNS。

（3）配置網絡層

確保路由器能夠屏蔽垃圾數據包，剔除不用的協議，并且設置好防火墻。此外，可以讓供應商進行邊界網絡的設置，保證能夠得到一個最大的最通暢的帶寬。

5 結語

在如今網絡技術飛速發展的現況下，各種攻擊手段。網絡黑客利用系統在不同層面的漏洞竊取用戶私人信息，嚴重損害用戶權益。我們只有了解各種攻擊手段的原理才能在根本上消除網絡攻擊帶來的危害。雖然，現如今的防御技術在不斷提升，但是仍有很多不足，需要進一步的改進與提高，為網絡用戶提供安全可靠的網絡環境。

[1] 楊濤,劉錦德.Web Services技術綜述——一種面向服務的分布式計算模式[J].計算機應用,2004(08):1-4.

[2] Sihyun Jeong,Jaehoon Lee,Junhyun Park,Chong-kwon Kim.The Social Relation Key: A new paradigm for security[J].Information Systems. 2017,71

[3] 國家計算機網絡應急技術處理協調中心。2016 年我國互聯網網絡安全態勢綜述[R]。2017 年 4 月

[4] 日昇月恒, XSS的原理與分類[EB/OL], (2015-07-01)[2017-01-09],http://blog.csdn.net/hitwangpeng/article/details/46928175.

[5] 古開元,周安民.跨站腳本攻擊原理與防范[J].網絡安全技術與應用,2005(12):19-21.

[6] 譚彬,楊明,梁業裕,寧建創.Web安全漏洞研究和防范[J].通信技術,2017,50(04):795-802.

[7] 劉岳,盛杰,尹成語.WEB應用中SQL注入攻擊與防御策略研究[J].網絡安全技術與應用,2017(04):109-111.

[8] 陳業雄. 面向AJAX架構Web服務的攻擊和防御[D].電子科技大學,2008

[9] 王希斌,廉龍穎,高輝,郎春玲.網絡安全實驗中DDoS攻擊實驗的實現[J].實驗科學與技術,2016,14(01):68-71.