Web系統(tǒng)安全威脅研究

阮云蘭 晏小慶 江西工程學(xué)院

網(wǎng)絡(luò)安全時(shí)代的到來，對(duì)于網(wǎng)絡(luò)安全架構(gòu)的基礎(chǔ)往往由網(wǎng)絡(luò)防火墻承擔(dān)主要的防護(hù)措施，抑或是Admin通常經(jīng)由鎖定主機(jī)來處理安全問題，在這個(gè)過程之中卻往往容易忽略應(yīng)用程序開發(fā)設(shè)計(jì)時(shí)所存在的安全漏洞，故而Web應(yīng)用程序?qū)τ谄浼軜?gòu)設(shè)計(jì)師以及開發(fā)人員往往認(rèn)為其安全需要在事后以及時(shí)間允許情況下，對(duì)程序性能有所改良之后再去考慮安全性能方面的問題，而Web網(wǎng)絡(luò)攻擊通常可以直接破壞應(yīng)用程序，貫穿Web網(wǎng)絡(luò)防御。

1 Web應(yīng)用系統(tǒng)所面臨的安全問題

當(dāng)下，互聯(lián)網(wǎng)已經(jīng)成為各大產(chǎn)業(yè)機(jī)構(gòu)所必需的一個(gè)基礎(chǔ)平臺(tái)，考慮到Web應(yīng)用的開放性質(zhì)，各類Web軟硬件的漏洞無可避免，日趨成熟化的網(wǎng)絡(luò)駭客技術(shù)，黑客多將其注意力通由對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊轉(zhuǎn)變?yōu)閃eb應(yīng)用的攻擊之上，而如今大部分企業(yè)多將網(wǎng)絡(luò)與服務(wù)器安全置于首位，反觀Web安全系統(tǒng)方便卻沒有得到足夠的重視，曾在2011年末，我國(guó)互聯(lián)網(wǎng)行業(yè)內(nèi)所爆發(fā)出各類CSDN“泄密門”事件，可見Web應(yīng)用潛在威脅的序幕已經(jīng)打開。

通常在Web應(yīng)用程序于日常生活之中，多會(huì)受到各種形式的攻擊，且多分為以下幾個(gè)方面：

1.1 基于操作系統(tǒng)下的安全問題

操作系統(tǒng)以及后臺(tái)數(shù)據(jù)方面的配置不合理，存在一定的漏洞，使致駭客、病毒對(duì)其存在的漏洞與弱口令進(jìn)行攻擊，這是基于操作系統(tǒng)之下的安全問題。

1.2 Web所存在的系統(tǒng)漏洞安全

Web服務(wù)器所發(fā)布的系統(tǒng)通常會(huì)存在一些安全漏洞，如IIS、Apache等，給攻擊者可乘之機(jī)。

1.3 Web應(yīng)用程序上的漏洞

多指的是Web應(yīng)用程序的編寫人員，對(duì)編寫過程之中的安全因素沒有進(jìn)行全面考慮，造成黑客對(duì)于這些漏洞進(jìn)行攻擊，進(jìn)行SQL注入以及跨站腳本攻擊等。

1.4 自身所存在的網(wǎng)絡(luò)安全情況

Web服務(wù)器所處在的網(wǎng)絡(luò)安全情況也多影響著網(wǎng)站的安全，比如其中所存在的Dos攻擊，或多或少啊都會(huì)影響到網(wǎng)站的正常運(yùn)營(yíng)。

2 Web應(yīng)用的安全風(fēng)險(xiǎn)

攻擊者可以通過應(yīng)用程序中各種不同的路徑與方法來危害網(wǎng)絡(luò)業(yè)務(wù)以及企業(yè)組織。其中各種路徑方法都代表了一種風(fēng)險(xiǎn)，有些路徑方法很容易被發(fā)現(xiàn)并利用，有些則很難被發(fā)現(xiàn)。為了確定企業(yè)所面臨的安全風(fēng)險(xiǎn)，可以結(jié)合其產(chǎn)生的技術(shù)影響和對(duì)企業(yè)的業(yè)務(wù)影響，進(jìn)而評(píng)估威脅代理、攻擊向量和安全漏洞的可能性。其中多通由威脅代理，對(duì)安全漏洞進(jìn)行攻擊向量，以達(dá)到安全控制，從技術(shù)影響上達(dá)到對(duì)功能的控制，進(jìn)而影響企業(yè)行業(yè)的資產(chǎn)業(yè)務(wù)。

其中在2017威脅榜單之中，注入攻擊漏洞居Top10之首，而XSS的威脅程度從A3降低到A7。其中敏感信息的泄露、安全配置上的錯(cuò)誤以及失效的訪問控制等威脅均有所提升，應(yīng)受到各大企業(yè)的重視。其中2017web網(wǎng)絡(luò)威脅榜單之中出現(xiàn)了一些新的安全威脅，包括 XXE漏洞(A4:2017,XML External Entity attack)、針對(duì)Java平臺(tái)的不安全反序列化漏洞(A8:2017,Insecure Deserialization)以及記錄和監(jiān)控不足風(fēng)險(xiǎn)(A10:2017,Insufficient Logging & Monitoring)等，這些新興的安全威脅也值得企業(yè)重點(diǎn)關(guān)注。

各類互聯(lián)網(wǎng)產(chǎn)業(yè)相繼不斷浮現(xiàn)，網(wǎng)貸、購(gòu)物以及社交等一系列新型互聯(lián)網(wǎng)產(chǎn)品的誕生，企業(yè)信息化的過程中越來越多的應(yīng)用都架設(shè)于Web平臺(tái)上，接踵而至的就是Web安全威脅的凸顯。大量黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

3 Web應(yīng)用系統(tǒng)安全的防護(hù)措施

3.1 提高防范意識(shí)

有效設(shè)立網(wǎng)絡(luò)安全基線，并且制定防篡改措施，檢查各類應(yīng)用程序是否安全使用解釋器，仔細(xì)審查代碼，合理運(yùn)用代碼分析工具以實(shí)現(xiàn)幫助安全分析，追蹤應(yīng)用的數(shù)據(jù)流。定期開展檢查工作，并不定期對(duì)Web進(jìn)行安全掃描，進(jìn)行源代碼方面的滲透評(píng)估測(cè)試，及時(shí)進(jìn)行系統(tǒng)更新，執(zhí)行應(yīng)用程序動(dòng)態(tài)掃描器及時(shí)提供信息反饋，以確認(rèn)注入漏洞是否存在。其次，便是安裝防病毒以及通訊監(jiān)視軟件，預(yù)防各類病毒的攻擊。

3.2 安裝安全產(chǎn)品

保護(hù)Web應(yīng)用系統(tǒng)安全的軟件各種各樣，結(jié)合企業(yè)自身安全防護(hù)的需要，可安裝網(wǎng)頁(yè)防篡改軟件、Web防火墻軟件、Web木馬檢測(cè)工具、以及主機(jī)Web網(wǎng)關(guān)。以上安全產(chǎn)品的合理運(yùn)用可有效抵御潛在的外來攻擊。

3.3 做好安全監(jiān)控與恢復(fù)

對(duì)于各類檢測(cè)結(jié)果進(jìn)行一定的反饋與分析，總結(jié)并修訂安全計(jì)劃、程序以及系統(tǒng)漏洞的修補(bǔ)，進(jìn)而完善Web編碼，強(qiáng)化清理網(wǎng)頁(yè)木馬以及惡意代碼。從而防止入侵。并對(duì)防御結(jié)果反饋的信息進(jìn)行解析、分析、記錄以及匯報(bào)，做好事先的預(yù)防工作，強(qiáng)化內(nèi)外部網(wǎng)絡(luò)行為方式的監(jiān)管。

4 結(jié)語(yǔ)

綜上所述，Web應(yīng)用系統(tǒng)的管理者應(yīng)提高自身安全意識(shí)，做好全面的安全防護(hù)，立體化防護(hù)構(gòu)架，嘗試先進(jìn)尖端的技術(shù)手段，以保證Web應(yīng)用系統(tǒng)符合安全性要求，保證其良好穩(wěn)定的運(yùn)行，安全性問題分布在程序周期的各個(gè)階段和角色中,它不是一個(gè)目的地,而是一個(gè)有始無終的旅程。

[1]劉杰,葛曉玢.關(guān)于Web安全漏洞分析及防范策略[J].河北工程技術(shù)高等專科學(xué)校學(xué)報(bào),2017(04):32-35

[2]畢立恒,劉云潺.面向web的安全信息搜集平臺(tái)設(shè)計(jì)[J].信息技術(shù)與信息化,2017(07):19-22