Web系統安全威脅研究

阮云蘭 晏小慶 江西工程學院

網絡安全時代的到來，對于網絡安全架構的基礎往往由網絡防火墻承擔主要的防護措施，抑或是Admin通常經由鎖定主機來處理安全問題，在這個過程之中卻往往容易忽略應用程序開發設計時所存在的安全漏洞，故而Web應用程序對于其架構設計師以及開發人員往往認為其安全需要在事后以及時間允許情況下，對程序性能有所改良之后再去考慮安全性能方面的問題，而Web網絡攻擊通常可以直接破壞應用程序，貫穿Web網絡防御。

1 Web應用系統所面臨的安全問題

當下，互聯網已經成為各大產業機構所必需的一個基礎平臺，考慮到Web應用的開放性質，各類Web軟硬件的漏洞無可避免，日趨成熟化的網絡駭客技術，黑客多將其注意力通由對網絡服務器的攻擊轉變為Web應用的攻擊之上，而如今大部分企業多將網絡與服務器安全置于首位，反觀Web安全系統方便卻沒有得到足夠的重視，曾在2011年末，我國互聯網行業內所爆發出各類CSDN“泄密門”事件，可見Web應用潛在威脅的序幕已經打開。

通常在Web應用程序于日常生活之中，多會受到各種形式的攻擊，且多分為以下幾個方面：

1.1 基于操作系統下的安全問題

操作系統以及后臺數據方面的配置不合理，存在一定的漏洞，使致駭客、病毒對其存在的漏洞與弱口令進行攻擊，這是基于操作系統之下的安全問題。

1.2 Web所存在的系統漏洞安全

Web服務器所發布的系統通常會存在一些安全漏洞，如IIS、Apache等，給攻擊者可乘之機。

1.3 Web應用程序上的漏洞

多指的是Web應用程序的編寫人員，對編寫過程之中的安全因素沒有進行全面考慮，造成黑客對于這些漏洞進行攻擊，進行SQL注入以及跨站腳本攻擊等。

1.4 自身所存在的網絡安全情況

Web服務器所處在的網絡安全情況也多影響著網站的安全，比如其中所存在的Dos攻擊，或多或少啊都會影響到網站的正常運營。

2 Web應用的安全風險

攻擊者可以通過應用程序中各種不同的路徑與方法來危害網絡業務以及企業組織。其中各種路徑方法都代表了一種風險，有些路徑方法很容易被發現并利用，有些則很難被發現。為了確定企業所面臨的安全風險，可以結合其產生的技術影響和對企業的業務影響，進而評估威脅代理、攻擊向量和安全漏洞的可能性。其中多通由威脅代理，對安全漏洞進行攻擊向量，以達到安全控制，從技術影響上達到對功能的控制，進而影響企業行業的資產業務。

其中在2017威脅榜單之中，注入攻擊漏洞居Top10之首，而XSS的威脅程度從A3降低到A7。其中敏感信息的泄露、安全配置上的錯誤以及失效的訪問控制等威脅均有所提升，應受到各大企業的重視。其中2017web網絡威脅榜單之中出現了一些新的安全威脅，包括 XXE漏洞(A4:2017,XML External Entity attack)、針對Java平臺的不安全反序列化漏洞(A8:2017,Insecure Deserialization)以及記錄和監控不足風險(A10:2017,Insufficient Logging & Monitoring)等，這些新興的安全威脅也值得企業重點關注。

各類互聯網產業相繼不斷浮現，網貸、購物以及社交等一系列新型互聯網產品的誕生，企業信息化的過程中越來越多的應用都架設于Web平臺上，接踵而至的就是Web安全威脅的凸顯。大量黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

3 Web應用系統安全的防護措施

3.1 提高防范意識

有效設立網絡安全基線，并且制定防篡改措施，檢查各類應用程序是否安全使用解釋器，仔細審查代碼，合理運用代碼分析工具以實現幫助安全分析，追蹤應用的數據流。定期開展檢查工作，并不定期對Web進行安全掃描，進行源代碼方面的滲透評估測試，及時進行系統更新，執行應用程序動態掃描器及時提供信息反饋，以確認注入漏洞是否存在。其次，便是安裝防病毒以及通訊監視軟件，預防各類病毒的攻擊。

3.2 安裝安全產品

保護Web應用系統安全的軟件各種各樣，結合企業自身安全防護的需要，可安裝網頁防篡改軟件、Web防火墻軟件、Web木馬檢測工具、以及主機Web網關。以上安全產品的合理運用可有效抵御潛在的外來攻擊。

3.3 做好安全監控與恢復

對于各類檢測結果進行一定的反饋與分析，總結并修訂安全計劃、程序以及系統漏洞的修補，進而完善Web編碼，強化清理網頁木馬以及惡意代碼。從而防止入侵。并對防御結果反饋的信息進行解析、分析、記錄以及匯報，做好事先的預防工作，強化內外部網絡行為方式的監管。

4 結語

綜上所述，Web應用系統的管理者應提高自身安全意識，做好全面的安全防護，立體化防護構架，嘗試先進尖端的技術手段，以保證Web應用系統符合安全性要求，保證其良好穩定的運行，安全性問題分布在程序周期的各個階段和角色中,它不是一個目的地,而是一個有始無終的旅程。

[1]劉杰,葛曉玢.關于Web安全漏洞分析及防范策略[J].河北工程技術高等專科學校學報,2017(04):32-35

[2]畢立恒,劉云潺.面向web的安全信息搜集平臺設計[J].信息技術與信息化,2017(07):19-22