Web 安全及其防護技術(shù)分析

摘要：由于Web安全問題會影響其應(yīng)用效果和服務(wù)器性能，因此做好相應(yīng)的防護設(shè)計必不可少。文章分析了Web安全及其防護技術(shù)的研究現(xiàn)狀，介紹了幾種常用防護技術(shù)。

關(guān)鍵詞：防護技術(shù);Web服務(wù)器;安全

中圖法分類號：TP393文獻標識碼：A

Analysis of Web security and its protection technology

HU Hengbo

（Sichuan Technology and Business University，Chengdu 611745，China）

Abstract：Because Web security issues will affect its application effect and server performance， it is essential to do a good job of corresponding protection design. By analyzing the research status of Web security and its protection technology， this paper introduces several commonly used protection technologies.

Key words：protection technology， Web server，security

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web 服務(wù)器遭受惡意攻擊的情況越來越多，因此相關(guān)安全防護技術(shù)受到人們的重視。Web 平臺常常會出現(xiàn)漏洞，給外部攻擊者提供可乘之機，在開展安全防護工作時，也須基于漏洞的實際情況。

1背景

企事業(yè)單位建立內(nèi)部業(yè)務(wù)系統(tǒng)和對外信息發(fā)布平臺都要用到 Web 應(yīng)用技術(shù)，該技術(shù)在為用戶提供便利同時，也為信息服務(wù)商提供了構(gòu)建信息系統(tǒng)的標準技術(shù)。隨著 Web 平臺的普及，針對 Web 的攻擊越來越多。傳統(tǒng)網(wǎng)絡(luò)安全防護系統(tǒng)難以高效處理數(shù)據(jù)，不能有效防御 Web 應(yīng)用程序的攻擊，所以有必要研究 Web 安全防護技術(shù)，以保障 Web 應(yīng)用程序安全[1]。

2現(xiàn)狀與意義

采用 HTTP 協(xié)議發(fā)起的 Web 應(yīng)用攻擊所用到的技術(shù)是對 Web 服務(wù)器功能進行擴展，在 Web 服務(wù)器的軟件內(nèi)增加安全防護模塊，并在 Web 服務(wù)器未處理請求數(shù)據(jù)前做好安全檢查，以區(qū)分用戶與攻擊者，這就是 Web 服務(wù)器擴展技術(shù)。面對安全威脅，國內(nèi)外科研機構(gòu)開始參與 Web 安全防護技術(shù)的研究，如中創(chuàng)軟件商用中間件股份有限公司基于“國家863技術(shù)成果”研發(fā) Info Guard Web 防篡改中間件。隨著 Web 攻擊方式的演化，推出新的防護策略顯得尤為重要。研究 Web 安全防護技術(shù)對保障 Web 應(yīng)用平臺穩(wěn)定運行有著重要意義。

3綜述

3.1 Web 服務(wù)器的漏洞類型

Web 安全漏洞指的是 Web 系統(tǒng)在設(shè)計與實現(xiàn)過程中存在的安全缺陷，非法用戶充分利用漏洞獲得高級系統(tǒng)權(quán)限，使自己在未經(jīng)過授權(quán)的情況下登錄系統(tǒng)，降低了 Web 的安全性與穩(wěn)定性。

Web 服務(wù)器的漏洞類型包括：（1）用戶訪問 Web 時，出現(xiàn)請求遭拒的問題，此時用戶接收不到 Web 服務(wù)器響應(yīng)消息。（2）公共網(wǎng)關(guān)接口是 Web 信息服務(wù)和外部應(yīng)用程序的接口，具有數(shù)據(jù)交換的作用，支持瀏覽器內(nèi)用戶交互，但該環(huán)節(jié)也容易發(fā)生安全問題。（3）用戶遠程向 Web 服務(wù)器發(fā)送信息時，信息被攻擊者攔截，使用 simple Box 與 secret Box 工具，聯(lián)合固態(tài)加密算法，可建立安全性較高的 Web 服務(wù)。

3.2 Web 應(yīng)用系統(tǒng)存在的漏洞

Web 應(yīng)用系統(tǒng)的漏洞類型主要包括高危漏洞、中危漏洞以及低危漏洞。其中，高危漏洞體現(xiàn)于跨站點腳本，這是一種 html 注入攻擊，常見的有反射型與存儲型兩種，惡意用戶將 JavaScript，VBScript，ActiveX， HTML 或 Flash 注入應(yīng)用程序，企圖欺騙用戶并在這些程序內(nèi)采集數(shù)據(jù)，隨后攻擊者竊取會話 Cookie 來冒充用戶完成操作，甚至接管用戶的賬戶，修改頁面內(nèi)容，最終導(dǎo)致/nav/項目受到影響。中危漏洞一般指缺乏 CSRF 保護的 HTML 表單，這類警告有可能屬于假陽性，要求用戶手動確認，攻擊者利用用戶身份來操作對方賬戶，由于 Web 具有隱式身份驗證機制，攻擊者會采用這樣的攻擊方式，導(dǎo)致用戶 Web 系統(tǒng)中的/message.asp 項目受到影響。

4 Web 安全及防護技術(shù)

4.1 Web 防篡改技術(shù)

外部攻擊者對 Web 相關(guān)頁面進行惡意篡改是比較常見的安全問題。當 Web 被攻擊、篡改時，常常會導(dǎo)致其閱讀量和點擊量上升、信息傳播速度加快，帶來的不利影響一般難以恢復(fù)，這種攻擊是不容易防范的安全問題，對 Web 的應(yīng)用產(chǎn)生很大威脅，為此，我們需要應(yīng)用 Web 防篡改技術(shù)。

在 Web 防篡改技術(shù)中，實際上是借助了信息恢復(fù)技術(shù)以及監(jiān)控技術(shù)。若 Web 信息數(shù)據(jù)遭到惡意改動，或是部分內(nèi)容存在異常情況，則可通過信息恢復(fù)技術(shù)恢復(fù)系統(tǒng)信息、數(shù)據(jù)以及內(nèi)容，確保其達到良好運行狀態(tài)。監(jiān)控技術(shù)則負責(zé)對 Web 的實時運行動態(tài)加以監(jiān)控，防范各種問題。但目前我們所應(yīng)用的 Web 防篡改技術(shù)還有許多不完善之處，其也在不斷更新。比如，應(yīng)用某 Web 防篡改技術(shù)后，服務(wù)器的性能會發(fā)生改變，整體管理變得更加復(fù)雜，同時部分動態(tài)頁面的防護仍舊存在漏洞，也須投入額外的技術(shù)成本，若負責(zé)防止篡改Web的內(nèi)部系統(tǒng)遭到外部攻擊，則其便會失去 Web 防護能力。除此之外，大部分 Web 防篡改技術(shù)具有局限性，只能夠在靜態(tài)頁面防護中發(fā)揮良好作用，這也是需要注意的問題[2]。圖1為iGuard Web 防篡改系統(tǒng)。

4.2密碼安全防護技術(shù)

實際上，在應(yīng)用 Web 服務(wù)器的過程中，其系統(tǒng)在安裝的過程中會將部分內(nèi)容默認為開啟狀態(tài)，其開啟的賬號通常無法起到直接作用，如 Guest 賬號，若這些賬號的安全防護不到位就會被非法人員竊取和利用。為此，我們還需應(yīng)用密碼安全防護技術(shù)，加強對系統(tǒng)賬號的密碼管理，提升賬號安全度。比如，在設(shè)置管理員賬戶時，可以設(shè)置兩個或兩個以上的管理員賬戶，若其中一個管理員賬戶發(fā)生異常或被盜時，則剩余管理員賬戶也能對計算機系統(tǒng)進行規(guī)范操作。為了保障賬號安全，還需對管理員賬戶加強權(quán)限控制，盡可能避免使用 Windows 默認的 administrator 賬戶。對于管理員賬戶，應(yīng)當盡可能提升密碼的復(fù)雜程度，不能讓密碼輕易被破解，設(shè)置密碼設(shè)置權(quán)限時不允許只使用數(shù)字排列，應(yīng)當包含字母，或者添加特殊符號來組成密碼字符，以有效提升其安全性[3]。

4.3反向代理技術(shù)

反向代理技術(shù)通常是以服務(wù)器形式來應(yīng)用，將反向代理的相關(guān)服務(wù)器看作是目標服務(wù)器，讓訪問用戶能夠通過該服務(wù)器獲取資源。對于 Web 應(yīng)用來說，反向代理還具有加速作用，同時能夠降低網(wǎng)絡(luò)服務(wù)的實際負載，提升用戶訪問效率。Web 服務(wù)器發(fā)揮防護作用時，會將反向代理服務(wù)器設(shè)置在目標服務(wù)器之前，用戶之后，當用戶發(fā)出訪問請求時，反向代理服務(wù)器會進行分析并判斷，避免 Web 服務(wù)器遭到攻擊。簡單來說，這是對外部用戶的訪問設(shè)置權(quán)限，便于控制和防護，確保 Web 服務(wù)器能夠正常運行，其防護原理與防火墻十分相似，可有效抵抗外部非法分子的攻擊，利用反向代理服務(wù)器來保護 Web 應(yīng)用安全，阻攔“不友善”的訪問，也能夠避免 Web 內(nèi)容被惡意篡改，并且該技術(shù)對于服務(wù)器系統(tǒng)的運行影響較小，也不會導(dǎo)致管理變得復(fù)雜。由于可以減少 Web 服務(wù)器的負荷，因而反向代理技術(shù)還具有優(yōu)化 Web 性能的特點。與 Web 防篡改技術(shù)相比，反向代理技術(shù)更具可靠性，同時其適用性更強、應(yīng)用范圍更廣，但其也存在投資金額較大的缺點。當前，只有一些規(guī)模較大的門戶網(wǎng)站會應(yīng)用該技術(shù)。

4.4蜜罐技術(shù)

在 Web 安全防護過程中，也常應(yīng)用蜜罐技術(shù)。該技術(shù)的特點是具有欺騙性，針對攻擊方設(shè)下陷阱，從而達到對系統(tǒng)安全的防護作用。在設(shè)置蜜罐時，其本身也應(yīng)當擁有一定的漏洞，這樣才能夠引誘攻擊。若黑客攻擊計算機 Web 系統(tǒng)，則蜜罐技術(shù)會基于黑客信息來開展分析，反向了解入侵方攻擊的主要手段，還能夠獲取對方 IP 來源，實時跟蹤最新攻擊位置、掌握其攻擊手段與路徑，對本服務(wù)器的漏洞加以修復(fù)，以免 Web 服務(wù)器再次遭到非法攻擊。

對于 Web 安全防護來說，蜜罐技術(shù)的優(yōu)點是做到了監(jiān)控一切外來用戶請求，同時判斷用戶訪問是否規(guī)范且安全，且應(yīng)用該技術(shù)不會對 Web 性能產(chǎn)生不利影響。但由于蜜罐技術(shù)具有一定的特殊性，其漏洞屬于“高危”形式，管理者稍有不慎就很可能導(dǎo)致系統(tǒng)被破壞，且蜜罐也有被破壞的可能，因此使用該技術(shù)的關(guān)鍵在于用好設(shè)陷技術(shù)[4]。

4.5限制 IP 訪問

對 Web 進行訪問的所有用戶端都對應(yīng)著各自的 IP 地址，從 IP 著手也能夠提升 Web 服務(wù)器的安全水平。比如，在 Web 服務(wù)器的過濾模塊中對 IP 訪問設(shè)限，對所有訪問者進行控制，便于篩選出安全用戶。在該技術(shù)的作用下，HTTP 會生成一個認證身份的功能，用戶對 Web 服務(wù)器進行訪問時，先會發(fā)出一個請求，然后服務(wù)器將身份認證信息請求發(fā)出，訪問者輸入用戶名和密碼信息，再經(jīng)由服務(wù)器認證這些信息，若用戶符合要求則通過認證，允許其繼續(xù)對Web服務(wù)器進行訪問，若不能通過認證，則不允許訪問，這在很大程度上增強了 Web 安全防護能力。

4.6加強客戶端管理

在分析 Web 服務(wù)器和應(yīng)用系統(tǒng)安全時可以看出，部分漏洞通常是很難避免的，這些漏洞的存在給網(wǎng)絡(luò)攻擊提供了便利，一些黑客和木馬病毒會借助漏洞攻擊 Web 服務(wù)器，如散播惡性程序代碼，導(dǎo)致其安全性下降。因此，為了保證對漏洞的有效修復(fù)，避免 Web 服務(wù)器遭受惡意攻擊，還需強化客戶端管理，從根本上做好 Web 安全防護。比如，將 Web 服務(wù)器中的信息加以備份，但需注意的是，備份操作也會造成一定的安全隱患，相關(guān)信息容易被黑客盜取，因此可以為備份信息設(shè)置密碼并形成相應(yīng)磁盤，且數(shù)據(jù)要進行加密處理，從而有效提升安全防護水平。

4.7安裝殺毒軟件，設(shè)置防火墻

針對計算機中的病毒或者惡意攻擊，有必要安裝殺毒軟件以及采用防火墻技術(shù)，實現(xiàn)對網(wǎng)絡(luò)的安全防護。實際上，殺毒軟件可以攔截病毒，為保障計算機系統(tǒng)安全，用戶每次使用計算機或者登陸 Web 之前都要應(yīng)用軟件進行殺毒，以便及時發(fā)現(xiàn)病毒并處理病毒，保證計算機正常運行。

防火墻技術(shù)是 Web 安全防護技術(shù)的重要組成部分，在對其進行應(yīng)用時一般在 Web 系統(tǒng)與計算機之間的內(nèi)部網(wǎng)絡(luò)中設(shè)置防火墻，從而提升 Web 的防攻擊能力。設(shè)置防火墻時一般采用信號識別控制法，以識別系統(tǒng)主機信號，排除潛在安全隱患，為 Web 的信息傳輸營造良好的環(huán)境。防火墻技術(shù)一般采用遞進式信息識別機制對 IP 進行識別，同時屏蔽安全隱患信號， Web 系統(tǒng)管理人員需要及時升級防火墻技術(shù)，同時編寫系統(tǒng)漏洞檢測程序，以便更好地利用相應(yīng)防護技術(shù)。

5結(jié)論

Web 安全防護問題一直備受關(guān)注，Web 服務(wù)器在運行的過程中常常面臨多種形式的攻擊（包括黑客以及木馬病毒的攻擊），在對其進行安全防護的過程中需要應(yīng)用多種防護技術(shù)，其中包括 Web 防篡改技術(shù)、密碼安全防護技術(shù)、反向代理技術(shù)、蜜罐技術(shù)等。

參考文獻：

[1]韋磊，寧玉文，高東懷，等.HTTPS 協(xié)議下的高校 Web 應(yīng)用防火墻部署模式研究[ J].自動化與儀器儀表，2021（12）：109?112+124.

[2]劉學(xué)章，黃慶佳，謝靜，等.面向 Web 安全防護的蜜罐技術(shù)研究[J].保密科學(xué)技術(shù)，2021（2）：28?33.

[3]于金郎.計算機網(wǎng)絡(luò)信息安全及其防護技術(shù)分析[J].數(shù)碼世界，2019（11）：258.

[4]陳剛，逯柳.Web 系統(tǒng)安全問題與防護機制研究[ J].無線互聯(lián)科技，2019，16（15）：108?109.

作者簡介：

胡恒搏（2000—），本科，研究方向：物聯(lián)網(wǎng)工程。