Web網站的安全問題及防護措施研究

孫淑麗

摘? ?要：互聯網的廣泛運用為人們的生活、工作和學習帶來了巨大的便利，但相對而言，互聯網具有的開放性、便捷性等特點也極易引發網絡安全問題。一旦網絡受到了攻擊，會給人們帶來極大的危害，甚至會威脅到整個社會的和諧與穩定。因此，文章重點對Web網站的安全問題及防護措施進行了研究。

關鍵詞：Web網站;安全;攻擊手段;防護對策

1? ? Web網站

Web是一種基于超文本和超文本傳輸協議（Hyper Text Transport Protocol，HTTP）的、全球性的、動態交互的、跨平臺的分布式圖形信息系統。網站則是在互聯網上，根據一定的規則，使用超文本編輯語言（Hyper Text Markup Language，HTML）等工具制作展示特定內容的相關網頁的集合。從用途上講其是一種通信工具，可以將人們想要公開的資訊予以發表和分享或者獲取網絡服務的載體。但事物都具有兩面性，Web網站也不例外。因其是以網絡為依托的，而網絡又具有開放性特點，人們在利用Web網站的過程中不可避免地會受到各個方面的影響，為了更好地維護Web網站的安全，本文對其防護措施進行了重點研究。

2? ? Web網站安全現狀分析

從整體上分析，引發安全隱患的因素并不完全取決于自然因素，其根源則在于人為因素。首先，自然環境方面。網站需要計算機以運轉，但計算機并沒有任何抵御自然的能力。其次，人為因素。（1）網絡安全的維護不到位。很多管理人員在知識和技能的儲備方面較落后，無法滿足當前管理工作的需求。（2）網絡本身具有開放性特點，很多犯罪分子、黑客往往會利用這一特點實施不法行為，惡意盜取、篡改計算機用戶的信息，尤其是黑客防不勝防，用戶并不具備專業而熟練的計算機技術，其無法預防、控制和防范黑客的惡意攻擊，包括數據的丟失、竊聽、篡改乃至病毒的植入。

3? ? Web網站攻擊手段和危害

3.1? 跨網站腳本攻擊

跨網站腳本攻擊是一種常見的攻擊手段。攻擊者在網頁上發布包含攻擊性代碼的數據。一旦用戶瀏覽該網頁，特定的腳本就會冒充用戶的身份和權限來執行。它的危害在于用戶的數據、信息更容易被竊聽、盜取和篡改，控制用戶賬戶以及造成其他類型的攻擊。

3.2? 注入攻擊

注入攻擊以結構化查詢語言（Structured Query Language，SQL）注入攻擊為主。其是利用服務器端代碼自身存在的漏洞進行攻擊，在Web客戶端和服務器連接后，對數據庫后端進行攻擊。這種攻擊與其他攻擊不同的地方在于，它能直接訪問用戶的數據庫而不受安全防護機制的限制和影響。該手段所呈現出來的方法靈活多樣。比如：get型注入，只存在于帶有參數的動態網頁中;post型注入，其最大特點就是具有極強的隱蔽性，大多應用于網站后臺的登錄框中，竊取管理員的賬戶信息和身份來實施非法管理行為。

3.3? 其他攻擊

比如任意執行，這是通過在服務器上執行來自于網站服務器外部的惡意文件所產生的攻擊;不安全對象引用，是用戶有權限去瀏覽此網站，但在更改訪問參數時訪問到了本來沒有訪問權限的網站;在用戶正常登錄系統以后，攻擊者誘使用戶訪問一些非法鏈接，以執行一些非法操作，從而對網站進行控制或攻擊，這是偽造跨站點請求的攻擊手段。

4? ? Web網站的防護手段

4.1? 完善網站安全模式

首先，網站服務器所處的機房環境要安全。不僅要求硬件達標，安全設備完善，管理人員也要擁有過硬的專業知識和技能以及強烈的責任心。其次，要及時打好補丁，堵上漏洞。在網站服務器上安裝正版防病毒軟件，每日要對殺毒軟件與木馬掃描軟件進行升級，不在服務器上安裝與網站運行無關的應用軟件。最后，在開發網站程序時最好不要用網絡上已經公開的測試程序代碼，而是要規范代碼的編寫流程，需要注意的是，網站在交付使用之前，要刪除后臺發布系統中不必要的功能代碼，尤其是一些論壇、博客類的功能代碼。

4.2? 升級網站加密方式

利用數據加密的相關技術可以有效地保護Web數據庫的安全。但是很多時候密碼技術并不完善，無法完全抵擋黑客的攻擊，或者黑客使用一些飽和攻擊等手段，強行獲取數據，這嚴重影響到Web數據庫的安全和正常使用。所以要制定一些可行性強的解決方案來處理這些問題。比如可以嚴格控制訪問權限，這就需要對訪問規則進行嚴格控制，讓很多沒有訪問權限的非法用戶不能輕松地進入，這需要對用戶密碼進行多種方式混合加密。比如，直接將用戶名稱分成毫不相關的兩個分組，接著保存到數據庫中，這時就進入了加密防守的階段。由于高級加密標準（Advanced Encryption Standard，AES）等加密算法的加密速度比較快，就算是數據庫里的數據有所泄漏，入侵者也需要花費很多的時間來處理用戶名的解析問題，這樣才能進行下一步攻擊網站的行動，從而提高網站的安全性。

4.3? 創新安全技術模式

首先，設置Web專用防火墻。不同于普通防火墻技術，其所具有的功能更加全面和完備。如Web防護、網頁保護、應用交付以及負載平衡等，防火墻對用戶的核心應用起到良好的保護效果，可使相關業務穩定、持續運行。除了對網站進行入侵防御系統（Intrusion Prevention System，IPS）漏洞防護之外，還可以防護一些木馬、后門等常見的病毒，更重要的是可以提供服務器防護功能，如暴力破解防護、Web服務和文件傳輸協議（File Transfer Protocol，FTP）隱藏、文件上傳過濾等。其次，提高安全技術的檢測水平。不僅要借助相應的技術手段對網站進行全面的漏洞掃描，還要請專業的網絡安全機構，對網站的安全性進行檢測，若是存在安全問題，可根據提示加以解決處理，從而為網站的安全作一個全面而系統的檢測。最后，在用戶操作的過程中也要注意細節，比如在瀏覽網站時最好使用“Https”進行通信，使用安全傳輸層協議（Transport Layer Security，TLS）加密，而不是直接使用“http：”，或者可以登錄授權，生成唯一的sessionid/token進行后續操作、接口訪問。

5? ? 結語

Web網站的安全管理問題刻不容緩，它不僅影響了用戶自身的利益，也直接影響了社會的和諧與穩定，因此，在管理網站時必須要正確地分析所存在的安全隱患以及產生原因，并通過采用一些積極的舉措、更新管理理念來營造安全的網站環境。

[參考文獻]

[1]劉書昆.Web網站安全及關鍵技術[J].電子技術與軟件工程，2018（4）：216.

[2]李尚.Web網站的安全問題及防護策略[J].方法與應用，2016（7）：13.

[3]孫愷.淺析網站安全防護[J].科技經濟導刊，2018（15）：27-28.