淺析Web安全漏洞及防范措施

史超博

摘 要：Web給我們帶來便利的同時，也給我們帶來了極大地安全隱患，最熟為人知的莫過于SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數(shù)據(jù)庫運行出錯、后臺弱口令漏洞、文件上傳漏洞等隱患，這些Web應(yīng)用中常見的安全漏洞為我們的學(xué)習(xí)、工作帶來了很大的不便，因此，計算計網(wǎng)絡(luò)安全嚴重影響了企業(yè)的發(fā)展，個人學(xué)習(xí)、生活的便利，家庭信息隱私等。本文從網(wǎng)絡(luò)安全定義、影響網(wǎng)絡(luò)安全的原因等方面探討了Web安全漏洞以及防范措施。

關(guān)鍵詞：Web;安全漏洞;網(wǎng)絡(luò)安全

在互聯(lián)網(wǎng)大眾化和基于Web的互聯(lián)網(wǎng)應(yīng)用飛速發(fā)展的今天，社會已逐步步入信息化，社會上的各行各業(yè)都在利用信息資源、物聯(lián)網(wǎng)飛速發(fā)展，物聯(lián)網(wǎng)技術(shù)、網(wǎng)絡(luò)資源已經(jīng)滲入到生活的方方面面。隨著企業(yè)規(guī)模的不斷擴大，相應(yīng)的網(wǎng)絡(luò)應(yīng)用范圍也在不斷擴大，做好網(wǎng)絡(luò)運行維護與安全管理工作已經(jīng)占據(jù)到了互聯(lián)網(wǎng)建設(shè)的戰(zhàn)略性地位。近年來網(wǎng)絡(luò)安全事件頻頻發(fā)生，人們對外部入侵和網(wǎng)絡(luò)安全日益重視，但是網(wǎng)絡(luò)的攻擊、Web安全漏洞也在近幾年來頻繁發(fā)生，網(wǎng)絡(luò)安全漏洞也隨之成為企業(yè)管理的隱患。生產(chǎn)資料被非法泄露，拷貝，篡改，給企業(yè)帶來了極其重大的損失，這種事件頻頻出現(xiàn)。

網(wǎng)絡(luò)安全（Network Security）就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷，它是一門涉及面非常廣的綜合性學(xué)科，它涉及計算機科學(xué)與技術(shù)，網(wǎng)絡(luò)技術(shù)，信息安全技術(shù)，通信技術(shù)，密碼技術(shù)，信息論，應(yīng)用數(shù)學(xué)，軟件工程，指令保護，統(tǒng)計學(xué)等多種學(xué)科。它的主要特性有保密性，完整性，可控性，可用性，可審查性。網(wǎng)絡(luò)安全最突出的重要性在于保護用戶的隱私，控制對網(wǎng)絡(luò)資源的訪問，保證企業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄裕暾裕鎸嵭浴？刂莆：ι鐣€(wěn)定的言論和不健康的信息傳入社會，引起社會不安穩(wěn)。

網(wǎng)絡(luò)安全在信息傳遞方面主要需要防止不健康軟件的攻擊，個人隱私信息額外泄，防止病毒入侵，有效保護用戶信息的私密性，有效地屏蔽掉惡意攻擊他人、危害社會穩(wěn)定的言論。各企業(yè)都有其內(nèi)部的殺毒軟件，這些殺毒軟件都有一個共同目標，就是其可以在各個網(wǎng)絡(luò)層次都能提供最佳的安全解決方案，保護用戶信息不外泄，有效保護用戶在辦公時不受到外網(wǎng)及內(nèi)網(wǎng)的惡意軟件及病毒攻擊。網(wǎng)絡(luò)防火墻同樣也能夠有效的防止木馬入侵，保護個人資料安全性。

最常見的網(wǎng)絡(luò)安全漏洞主要為SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數(shù)據(jù)庫運行出錯、后臺弱口令漏洞、文件上傳漏洞等隱患。

SQL注入漏洞非常危險，屬于高危漏洞，它之所以廣泛出現(xiàn)在網(wǎng)絡(luò)中，是因為網(wǎng)站應(yīng)用程序員在編寫程序時沒有對用戶提交到服務(wù)器的數(shù)據(jù)進行合法效驗，不但沒有過濾有效的特殊字符，而且還導(dǎo)致了網(wǎng)址服務(wù)器存在各種風(fēng)險，這就形成了我們說的SQL注入漏洞。它會導(dǎo)致系統(tǒng)機密數(shù)據(jù)被黑客盜取，核心業(yè)務(wù)被有意篡改，網(wǎng)頁被篡改，數(shù)據(jù)庫所在的服務(wù)器被攻擊，進而導(dǎo)致整個內(nèi)網(wǎng)被黑客入侵。因此，需要程序員在編寫網(wǎng)絡(luò)代碼中，應(yīng)該對用戶輸入的數(shù)據(jù)嚴格過濾，采用SQL語句預(yù)編譯和綁定變量，且部署Web應(yīng)用防火墻，實時監(jiān)控數(shù)據(jù)庫操作指令。

常見的Web安全漏洞還有目錄遍歷漏洞，它屬于中危漏洞，它是一種可以獲取系統(tǒng)文件及服務(wù)器的配置的程序，它是通過服務(wù)器API以及文件標準權(quán)限進行攻擊的。目錄遍歷漏洞可以使攻擊者獲取服務(wù)器的文件目錄結(jié)構(gòu)，進而獲取敏感文件，導(dǎo)致數(shù)據(jù)泄露。因此，我們需要通過修改配置文件，去除一些中間件的文件目錄索引功能，設(shè)置目錄權(quán)限，為每一個目錄創(chuàng)建一個空的索引頁面，從而達到加固服務(wù)器的目的。

敏感信息泄露也是我們常見的一種安全漏洞，它是由于網(wǎng)站后臺運維人員粗心導(dǎo)致的，一旦存放敏感信息的文件被泄露或者由于網(wǎng)站運行出錯而導(dǎo)致敏感信息泄露，攻擊者可以直接下載用戶的隱私信息，包括各類用戶名、密碼、以及個人隱私信息。攻擊者是通過制造一個個性化URL地質(zhì)，從而觸發(fā)系統(tǒng)Web應(yīng)用程序報錯，在返回的內(nèi)容中截獲對其有用的敏感信息。黑客可以利用這些敏感信息獲取網(wǎng)站服務(wù)器路徑，從而可以更猛烈的攻擊，這些行為導(dǎo)致的后果都會給企業(yè)帶來難以估測的損失。因此，針對這些行為，我們可以對網(wǎng)站錯誤信息進行統(tǒng)一返回，模糊化處理。對一些存放敏感信息的文件進行加密存儲，防治泄露。

網(wǎng)絡(luò)安全對于我們的工作，生活都非常重要，和我們的衣食住行息息相關(guān)，但是我們在使用網(wǎng)絡(luò)時也同樣面臨著許多隱患，綜合分析影響網(wǎng)絡(luò)安全性的主要因素有以下幾個方面。

第一，網(wǎng)絡(luò)結(jié)構(gòu)因素，眾所周知，網(wǎng)絡(luò)基本拓撲結(jié)構(gòu)有星型，環(huán)型，總線型。每個企業(yè)都包括若干個子公司，每個子公司又有自己不同的企業(yè)部門，每個部門有自己的局域網(wǎng)，他們所采用的的拓撲結(jié)構(gòu)也不可能完全一樣，在建造和維護內(nèi)網(wǎng)時，我們應(yīng)該盡可能實現(xiàn)異構(gòu)網(wǎng)絡(luò)間的信息通信，這就為我們提出了更高的網(wǎng)絡(luò)開放性要求。

第二，網(wǎng)絡(luò)地域因素。各企業(yè)的內(nèi)部網(wǎng)有可能是局域網(wǎng)，也有可能是廣域網(wǎng)，可以跨城際，也可以跨國際，這其中所涉及的地域位置比較復(fù)雜，所以它們之間的通信質(zhì)量也就難以確認完好，在信息的傳送過程中必定會造成部分信息的損失或者損壞，影響遠距離的通信質(zhì)量，讓一些黑客有機可乘。

第三，網(wǎng)絡(luò)使用者自身因素。每個企業(yè)都有自己的內(nèi)網(wǎng)，企業(yè)建立內(nèi)網(wǎng)是為了方便員工的使用，加快信息的傳遞，提高工作效率。但是隨著企業(yè)的擴大，企業(yè)的員工，客戶也會相應(yīng)地增加，這些對于網(wǎng)絡(luò)來說就是使用者即用戶的增加，這必然會給網(wǎng)絡(luò)的安全性帶來一定的威脅，因為這其中就有可能會有黑客，它必然會竊取企業(yè)的信息及機密。因此，用戶在使用電腦時，應(yīng)該設(shè)置稍微復(fù)雜的開機口令，在使用網(wǎng)絡(luò)時注意減少進入與工作不相關(guān)網(wǎng)頁的次數(shù)，對隱私文件要設(shè)置加密，這些基本的常識能有效的保護信息安全。

第四，網(wǎng)絡(luò)主機因素。在建立內(nèi)往后，由于企業(yè)的需求和使用網(wǎng)絡(luò)量大，原來的局域網(wǎng)必然不能滿足日益擴大的企業(yè)的需求，這就會增加一些譬如服務(wù)器，中型機，小型機，工作站等。這就會造成若干個操作系統(tǒng)的不同，這其中任意一臺主機有操作系統(tǒng)漏洞都會導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。所以，需要我們?nèi)嬉?guī)劃網(wǎng)絡(luò)平臺的安全策略，使用防火墻，使用有效的殺毒軟件，同時也要注意到網(wǎng)絡(luò)設(shè)備的無力保護。

經(jīng)過多次實踐證明，大部分的網(wǎng)絡(luò)安全問題都是由網(wǎng)絡(luò)內(nèi)部引起的，因此企業(yè)應(yīng)該對自己企業(yè)的內(nèi)網(wǎng)安全性高度重視，一定要制定出相關(guān)的網(wǎng)絡(luò)管理制度，并有專人管理監(jiān)督，這就需要我們有專門的網(wǎng)絡(luò)管理員，專門的網(wǎng)絡(luò)安全員。要培養(yǎng)專門的網(wǎng)絡(luò)管理員，專門的網(wǎng)絡(luò)安全員，而且要求網(wǎng)絡(luò)程序員編程嚴密，符合國際主流的協(xié)議規(guī)定，這就要求企業(yè)首先要選拔具有計算機基礎(chǔ)知識，尤其是具有網(wǎng)絡(luò)安全知識的專業(yè)技術(shù)人員，再對他們進行專業(yè)的網(wǎng)絡(luò)安全學(xué)習(xí)，網(wǎng)絡(luò)安全教育，網(wǎng)絡(luò)安全培訓(xùn)，培養(yǎng)出高技術(shù)人才從事網(wǎng)絡(luò)安全管理工作，這樣能有效提高企業(yè)的網(wǎng)絡(luò)使用安全。

因此，先進的技術(shù)手段，能夠有效地防護信息安全，譬如殺毒軟件，防火墻，但是網(wǎng)絡(luò)自身的隱患無法根除，這就要求我們作為信息安全的維護人員，應(yīng)該養(yǎng)成良好的程序編寫習(xí)慣，提高網(wǎng)絡(luò)安全意識，建立好網(wǎng)絡(luò)管理制度、方法，增強日常網(wǎng)絡(luò)管理、維護。有效防止病毒及黑客的入侵。