基于Web應用的網絡安全漏洞發現與研究

沈子雷

摘? ?要：隨著Web應用系統的不斷普及，越來越多的網絡安全漏洞被發現，給人們的工作和生活都造成了極大的威脅。Web安全漏洞可以分成基于Web應用的網絡安全漏洞和基于Web平臺的網絡安全漏洞兩種。文章通過闡述這兩種網絡安全漏洞的現狀及安全誤區，總結幾種常見的安全漏洞攻擊方法，并提出有效措施以防范黑客攻擊漏洞，維護網絡系統的安全。

關鍵詞：Web應用;網絡安全漏洞;發現與研究

現階段，計算機網絡發展飛速，各大企業都開始利用Web系統工作，為企業提供了有效的信息管理支持。Web系統的廣泛應用引起了很多黑客的注意，黑客利用網站系統的漏洞篡改網頁內容，常見的方式有跨站腳本攻擊、偽造跨站請求、結構化查詢語言（Structured Query Language，SQL）注入攻擊等，基于Web應用的網絡安全面臨著嚴重的威脅。本文將對Web的現狀進行分析，并對各種安全漏洞進行研究，最后提出相應的防范網絡安全漏洞的措施，有效防范黑客的漏洞攻擊行為，讓基于Web應用的網絡系統更加安全[1]。

1? ? 基于Web應用的網絡安全概述

1.1? 基于Web應用的網絡安全現狀

計算機網絡技術在不斷改進，Web應用也在不斷地更新換代，各種安全漏洞層出不窮。根據中國國家信息安全漏洞庫（China National Vulnerability Database of Information Security，CNNVD）收集的各種漏洞調查，漏洞的數量隨著實踐的推移不斷地增長，其中跨站腳本攻擊、SQL注入攻擊兩種漏洞較為廣泛，而且對網絡安全的影響非常大，占據了網絡漏洞中的主力，可以說是Web發展史上的里程碑。黑客通過網絡站點操作系統的漏洞，將SQL注入系統中，獲得服務器的控制權限，然后就可以更改網站中網頁的內容，更嚴重的情況是在其中注入惡意代碼，讓訪問網頁的用戶受到侵害。所以網絡用戶非常重視網頁安全問題，對整個Web系統的安全也更加關注?；赪eb的網絡安全問題逐漸由服務器的腳本安全升級為整個瀏覽器的安全，加強對瀏覽器安全漏洞的防范是目前互聯網行業的重點工作內容[2]。

1.2? 基于Web應用的安全認識誤區

很多用戶認為安裝防火墻就可以將所有的網絡安全漏洞排除，這種想法是不正確的。隨著計算機網絡的不斷改進，防火墻已經不能滿足用戶安全上網的需求，不管是應用級的防火墻還是端口級的防火墻，都是對網絡層面上的安全防護，并不能有效保證基于Web應用的網絡安全問題。防火墻利用設置的端口對訪問進行篩選，但是對訪問者身份的鑒別有很大的設計漏洞，導致其不能保證Web應用的網絡安全。還有很多用戶認為入侵檢測系統（Intrusion Detection System，IDS）可以讓Web應用網絡的安全問題得到解決，這種想法也是錯誤的。IDS通過識別模式進行網絡層面的保護，應用原理與防火墻相似，都不能有效防止程序漏洞和用戶允許的鏈接中的漏洞，這種漏洞識別軟件都存在一定的弊端，為了滿足用戶的使用需要不能隨意擴大識別范圍。程序漏洞是基于Web應用的網絡安全漏洞中最常見的，通過掃描計算機的系統來尋找漏洞這一想法是正確的。但是，在掃描以后沒有發現安全漏洞，用戶就認為可以安全上網，這種想法是非常危險的，實際上計算機的系統漏洞掃描存在一定的弊端，系統掃描工具只能將非常明顯的漏洞掃描出來，對于自身存在的漏洞或是一些微小的漏洞都是掃描不出來的，所以漏洞掃描能力受到多種因素的影響而相對較弱[3-4]。

2? ? 常見的基于Web應用的網絡安全漏洞形式

2.1? 跨站腳本攻擊

跨站腳本攻擊就是黑客將超文本標記語言代碼在不知不覺中加入到Web網頁中，用戶每次瀏覽網頁的時候，就會觸發超級文本標記語言（Hyper Text Markup Language，HTML）代碼，進而進行網絡攻擊?？缯灸_本攻擊通常被用于盜取機密或用戶個人信息，在博客、郵箱、論壇上應用較多。在如今計算機軟件的開發中，很多設計人員為了讓用戶得到更好的體驗，在網頁中經常會設置動態內容，其大多數是通過客戶端的腳本進行設計的，黑客往往抓住一個設計要點，對其腳本實施攻擊，就會形成安全漏洞[5]。

2.2? 偽造跨站請求

偽造跨站請求的攻擊方式與跨腳本攻擊不同，是偽造用戶盜取網站信息。很多網站在使用的過程中，為了增加用戶的瀏覽量，設計的訪問請求比較簡單，而攻擊者會利用用戶的請求授權，在網頁中添加非法鏈接或腳本，進而獲得網頁管理的權限，盜取網頁中的用戶信息并對網站造成損害，網頁式的攻擊方式嚴重泄露用戶的信息，破壞力極強。很多入侵者就是通過瀏覽器中的銀行網頁偽造跨站請求，然后騙取管理員的權限，盜取用戶的各項信息，對用戶的財產造成非常嚴重的損失。

2.3? SQL注入攻擊

SQL注入攻擊是一種針對數據庫進行攻擊的新型計算機網絡攻擊方式。程序員有很多個人習慣和編程技巧，在編程的過程中難免會有漏洞。網絡攻擊者正是根據編程者的漏洞，注入SQL，盜取數據庫中的用戶信息。

2.4? Cookie欺騙漏洞

儲存在用戶本地終端上的數據（Cookie）技術能給用戶提供更加便利的瀏覽方式，避免用戶多次在同一個瀏覽器中輸入密碼。按規定，只有同一個域名的Cookie才能被讀寫。攻擊者利用服務器給用戶提供Cookie的空檔對其進行更改，使服務系統不易察覺，進而對Web應用系統進行入侵并獲得控制權限，盜取用戶的各種信息數據。Cookie欺騙漏洞包含很多不同方式的入侵，有的直接跳過瀏覽器對系統的信息數據進行改寫，有的修改瀏覽器，使瀏覽器能夠在本地讀取任意域名Cookie，還有的欺騙瀏覽器，讓瀏覽器獲取假域名等，通過各種方式進行Cookie欺騙，以致用戶的個人信息和相關數據遭到泄露。

2.5? 緩沖區溢出漏洞

緩沖區溢出漏洞是指用戶在進行Web系統的應用中，發出一個非常復雜的請求，但是系統卻無法對這個請求做出有效處理時出現的漏洞。在用戶發出超長請求后，系統會自動進行數據的檢測，然后拒絕超長請求。在這個過程中，很多程序設計的數據長度都是與存儲空間相匹配的，因而會造成很長的緩沖期，在緩沖期很容易出現安全漏洞。攻擊者會在Web操作系統各個指令進入堆棧的時候實施非法授權的指令，進而獲得整個系統的控制權限，執行非法操作。緩沖區溢出漏洞的現象非常普遍，很多計算機系統都會遇到這種漏洞。所以，平時加強對系統的管理和更新，避免緩沖期的出現是非常重要的。

3? ? 基于Web應用的網絡安全漏洞有效防范措施

出現基于Web應用的網絡安全漏洞的原因在于很多黑客利用應用程序中的問題點進行攻擊，通過跨站腳本、偽造請求等形式盜取系統中的用戶信息，或獲得更多的系統權限來謀取個人利益。漏洞對人們的工作和生活有一定的危害，而且不容易被發現，所以在使用Web系統的時候應該注重對系統漏洞的防范，讓不法分子沒有可乘之機。

3.1? 在網絡系統出現漏洞前的有效防范

為了有效避免Web網絡系統中的漏洞，要定期檢測系統，并不斷升級檢測的程序和功能，優化檢測工具，盡量使用并行式的漏洞檢測方法進行漏洞檢測。對于線上的Web系統也要不斷優化，讓開發者在系統上線前進行各方面的詳細檢測，減少漏洞出現的概率。比如，在SQL注入漏洞的防范中，開發人員應該在輸入、查詢以及權限訪問方面進行有效的控制。大部分SQL注入漏洞都是由單引號造成的，攻擊者通常在原有的數據中插入單引號進行匹配，然后更改單引號后面的輸入，所以開發者應該注重單引號的設計，盡量在用戶的數據輸入之前進行單引號的匹配，然后對輸入的數據進行篩選處理，過濾一些特殊的字符，控制好數據的長度，將不同的輸入轉變成不同的種類。然后利用參數進行數據查詢，查詢的前提是系統具有固定的查詢結構，利用參數進行預先占位符，用用戶輸入的數據填滿占位符，有效確定查詢結構的形式，這樣即使攻擊者對數據進行破壞，也不能影響查詢結構。根據用戶的需求合理設計訪問權限，對用戶的信息保密，管理好整個系統的數據信息。

3.2? 在網絡系統出現漏洞時的防范

當Web系統出現漏洞時，應該立即啟動事先準備好的漏洞防護設備進行有效防范，緊急修復Web系統，避免造成系統的重大損失。在制定應急處理方案時，應該注重考慮一些設計的細節問題，對漏洞問題進行預判，采用最有效的方式進行檢測和修復，將系統的損失降到最低。注重增加數據的保護措施，應該采用多層加密的方式保護用戶信息，建立自動鎖定裝置，在Web系統中出現安全漏洞時，及時鎖定重要數據，避免攻擊者盜取重要信息和篡改資料。

3.3? 在網絡系統漏洞攻擊后的反思

對于Web系統的漏洞問題，應該及時反思，建立信息備份，避免重要數據的丟失，完善數據信息管理的機制，更新現有的信息處理系統。

4? ? 結語

分析基于Web應用的網絡安全現狀，闡述常見的幾種網絡安全漏洞，并提出有效防范網絡安全漏洞的措施。只有不斷升級對Web系統的漏洞檢測，并對基于Web的網絡系統進行定期優化，在遭到系統入侵時及時修復，加強對用戶數據的保護，對網絡系統各項信息進行有效的備份處理，才能讓基于Web應用的網絡安全問題得到妥善處理。希望本研究對相關的網絡系統安全維護人員有所裨益，使其加強網絡的安全檢查，及時修復網頁漏洞，努力創建健康安全的上網環境。

[參考文獻]

[1]張浩，項朝君，陳海濤，等.計算機網絡安全與漏洞掃描技術的應用[J].電子元器件與信息技術，2019（9）：35-37.

[2]糜小夫，馮碧楠.計算機網絡安全與漏洞掃描技術的應用分析[J].信息通信，2019（2）：207-208.

[3]沈文婷，丁宜鵬，郭衛，等.計算機網絡安全與漏洞掃描技術的應用研究[J].科技與創新，2018（1）：154-155.

[4]王丹，趙文兵，丁治明.Web應用常見注入式安全漏洞檢測關鍵技術綜述[J].北京工業大學學報，2016（12）：62-72.

[5]文碩，許靜，苑立英，等.基于策略推導的訪問控制漏洞測試用例生成方法[J].計算機學報，2017（12）：2658-2670.

Discovery and research of network security vulnerability based on Web application

Shen Zilei

（Xinyang Agriculture and Forestry University， Xinyang 464000， China）

Abstract：With the increasing popularity of web application systems， more and more network security vulnerabilities have been discovered， which pose a great threat to peoples work and life. Web security vulnerabilities can be divided into two types： web application-based network security vulnerabilities and web platform-based network security vulnerabilities. This paper expounds the current situation of these two kinds of network security vulnerabilities and security misunderstandings， summarizes the common methods of attacking security vulnerabilities， and puts forward effective measures to prevent hackers from attacking vulnerabilities and maintain the security of network systems.

Key words：Web application; network security vulnerability; discovery and research