Web應(yīng)用安全防護(hù)技術(shù)研究

王洪亮

摘 要：Web應(yīng)用程序的應(yīng)用范圍越來(lái)越廣泛，進(jìn)而引發(fā)不法分子的惡意攻擊，給企業(yè)和用戶的信息安全帶來(lái)極大的威脅，加強(qiáng)Web應(yīng)用程序的安全保護(hù)就成為當(dāng)前面臨的緊迫任務(wù)。本文主要圍繞Web應(yīng)用程序的安全防護(hù)展開(kāi)相關(guān)論述。

關(guān)鍵詞：Web;應(yīng)用程序;安全防護(hù);服務(wù)器

1 概述

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企事業(yè)單位在構(gòu)建內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)和對(duì)外信息發(fā)布平臺(tái)時(shí)，都不可避免地要使用Web應(yīng)用技術(shù)。該技術(shù)不僅能為用戶提供簡(jiǎn)單便捷的交互平臺(tái)，還為信息服務(wù)商提供了構(gòu)建信息系統(tǒng)的標(biāo)準(zhǔn)化技術(shù)，因此在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用。伴隨著Web技術(shù)應(yīng)用范圍的不斷擴(kuò)大，針對(duì)該應(yīng)用程序的攻擊也越來(lái)越多，Web應(yīng)用技術(shù)的安全正在遭受前所未有的威脅和調(diào)整。

2 Web應(yīng)用安全問(wèn)題產(chǎn)生原因分析

2.1 Web應(yīng)用程序自身的原因

早期的萬(wàn)維網(wǎng)只能提供靜態(tài)的HTML頁(yè)面瀏覽服務(wù)，站點(diǎn)用戶不需要通過(guò)身份驗(yàn)證即可享受服務(wù)，這種情況下Web站點(diǎn)的安全僅與Web服務(wù)器軟件機(jī)操作系統(tǒng)的漏洞有關(guān)，解決這兩部分的安全問(wèn)題，就可為Web站點(diǎn)的安全提供有力保障。而當(dāng)前的萬(wàn)維網(wǎng)提供的服務(wù)已經(jīng)逐漸升級(jí)到動(dòng)態(tài)解析應(yīng)用程序的層面，即Web應(yīng)用程序，該程序能夠?yàn)橛脩籼峁┳?cè)、登錄、搜索、交易等與用戶身份密切相關(guān)的服務(wù)，這些服務(wù)需要在客戶端和服務(wù)器之間進(jìn)行雙向數(shù)據(jù)交互才能完成，而交互的數(shù)據(jù)可能包括了用戶的個(gè)人隱私或機(jī)密信息。但Web程序在開(kāi)發(fā)過(guò)程中可能存在的技術(shù)漏洞，就成為引發(fā)各種安全問(wèn)題的主要原因。Web站點(diǎn)上運(yùn)行程序不同，存在的漏洞也各具差異：Web應(yīng)用程序無(wú)法對(duì)客戶端的操作進(jìn)行有效干預(yù)，用戶可向應(yīng)用程序提交任意的請(qǐng)求指令，而指令中一旦含有錯(cuò)誤或異常信息，就會(huì)對(duì)應(yīng)用程序的安全性產(chǎn)生威脅。常見(jiàn)的安全隱患主要有以下幾種：攻擊者可以對(duì)客戶端和服務(wù)器間的交互數(shù)據(jù)進(jìn)行篡改;攻擊者利用惡意參數(shù)，改變用戶輸入的最初假設(shè)，引發(fā)程序異常;攻擊者利用智能化的攻擊工具影響瀏覽器的正常服務(wù)，或短時(shí)間內(nèi)產(chǎn)生大量請(qǐng)求，然后利用程序漏洞達(dá)到自身的攻擊目的。

2.2 安全意識(shí)薄弱

Web應(yīng)用程序客戶端用戶對(duì)應(yīng)用安全問(wèn)題沒(méi)有引起足夠的重視，在應(yīng)用程序過(guò)程中沒(méi)有形成良好的用網(wǎng)習(xí)慣;而Web應(yīng)用程序的開(kāi)發(fā)人員對(duì)該應(yīng)用領(lǐng)域的核心概念了解不夠深入，甚至存在誤解，直接導(dǎo)致Web應(yīng)用程序在設(shè)計(jì)過(guò)程中就存在設(shè)計(jì)缺陷，為程序的后期應(yīng)用的安全埋下了隱患。

2.3 其他原因

在設(shè)計(jì)Web應(yīng)用程序時(shí)，濫用第三方模塊，影響了程序的性能;缺乏高質(zhì)量的安全測(cè)試，只對(duì)程序進(jìn)行快速滲透測(cè)試，使程序中的隱蔽漏洞無(wú)法及時(shí)發(fā)現(xiàn);安全威脅更新速度快，在程序研發(fā)初期對(duì)技術(shù)漏洞進(jìn)行有效處理后，會(huì)在短時(shí)間內(nèi)生產(chǎn)新的威脅。

3 Web應(yīng)用程序安全防護(hù)研究

3.1 應(yīng)用層安全防護(hù)技術(shù)

Web應(yīng)用程序研發(fā)及使用之前，企業(yè)只要從網(wǎng)絡(luò)邊界低于外部網(wǎng)絡(luò)的攻擊就可對(duì)內(nèi)部網(wǎng)進(jìn)行有效的安全防護(hù)，常用的安全防護(hù)技術(shù)有修補(bǔ)系統(tǒng)漏洞、加強(qiáng)對(duì)開(kāi)放服務(wù)的安全管理、在網(wǎng)絡(luò)邊界上部署防火墻和入侵監(jiān)測(cè)系統(tǒng)等一系列安全設(shè)備。

Web應(yīng)用程序接收外網(wǎng)用戶輸入方式具有多樣性，與內(nèi)部網(wǎng)絡(luò)重要數(shù)據(jù)的交互同樣具有多樣性，這就對(duì)Web應(yīng)用程序的安全防護(hù)技術(shù)提出了嚴(yán)峻的挑戰(zhàn)。在設(shè)計(jì)Web應(yīng)用程序安全防護(hù)措施時(shí)，應(yīng)從以下幾方面進(jìn)行考慮：①對(duì)用戶的輸入數(shù)據(jù)進(jìn)行安全檢測(cè)，防止惡意輸入或輸入非法數(shù)據(jù);②對(duì)Web用戶的訪問(wèn)權(quán)限進(jìn)行檢測(cè)，防止不良用戶的惡意入侵;③對(duì)攻擊行為進(jìn)行快速、準(zhǔn)確的識(shí)別，為Web應(yīng)用程序的正常運(yùn)轉(zhuǎn)提供安全保障，同時(shí)對(duì)攻擊者的非法行為進(jìn)行極力挫敗;④協(xié)助管理員對(duì)Web應(yīng)用程序的異常行為進(jìn)行實(shí)時(shí)監(jiān)控，在發(fā)生異常情況時(shí)，及時(shí)發(fā)出警報(bào)。

3.2 綜合層面的Web應(yīng)用程序安全防護(hù)措施

除應(yīng)用層外，Web服務(wù)器主機(jī)平臺(tái)同樣面臨著安全威脅，分布式拒絕服務(wù)（DDos）、端口掃描攻擊等，因此在構(gòu)建Web應(yīng)用程序安全防御系統(tǒng)時(shí)，不僅要從應(yīng)用層面進(jìn)行構(gòu)建，還應(yīng)從服務(wù)器平臺(tái)層面進(jìn)行構(gòu)建，以達(dá)到對(duì)Web應(yīng)用平臺(tái)的全面保護(hù)。

第一，Web服務(wù)器在部署完畢后，由于管理水平和技術(shù)水平限制的原因，可能會(huì)在服務(wù)器上配置或開(kāi)啟了一些不必要的服務(wù)，這些不必要的服務(wù)就成為攻擊者入侵程序的入口。Web安全防護(hù)系統(tǒng)可提供安全檢測(cè)功能，對(duì)操作系統(tǒng)及Web服務(wù)器軟件中可能存在的安全隱患進(jìn)行掃描，管理員結(jié)合生產(chǎn)的掃描報(bào)告對(duì)安全漏洞進(jìn)行及時(shí)修復(fù)，一定程度上可提高系統(tǒng)的安全性。

第二，可獲取服務(wù)器運(yùn)行狀態(tài)的信息，為管理員對(duì)系統(tǒng)運(yùn)行的安全性提供判斷依據(jù)。其中系統(tǒng)信息應(yīng)包括系統(tǒng)硬件的基本信息、系統(tǒng)軟件的相關(guān)信息、CPU利用率、硬盤內(nèi)存利用率、TCP和UDP網(wǎng)絡(luò)連接情況、Windows系統(tǒng)服務(wù)情況等，管理員根據(jù)以上信息，可對(duì)系統(tǒng)的安全性進(jìn)行初步定位。

第三，實(shí)時(shí)監(jiān)測(cè)功能的利用。利用實(shí)時(shí)監(jiān)測(cè)功能，對(duì)系統(tǒng)的運(yùn)行性能進(jìn)行檢測(cè)，當(dāng)系統(tǒng)性能的運(yùn)行指標(biāo)出現(xiàn)異常時(shí)，系統(tǒng)能夠生成告警并對(duì)其進(jìn)行記錄。例如，當(dāng)系統(tǒng)受到DDos攻擊時(shí)，系統(tǒng)性能會(huì)發(fā)生改變，結(jié)合系統(tǒng)的歷史記錄、實(shí)時(shí)告警指標(biāo)等對(duì)其進(jìn)行判斷，查看系統(tǒng)是否正在遭受DDos攻擊，以便及時(shí)采取有效保護(hù)措施。

第四，當(dāng)網(wǎng)站數(shù)量較多時(shí)，應(yīng)對(duì)網(wǎng)站進(jìn)行集中式統(tǒng)一管理。用戶可將網(wǎng)站的相關(guān)信息和攻擊數(shù)據(jù)提交到統(tǒng)一的數(shù)據(jù)服務(wù)器保存，這種集中式統(tǒng)一管理模式為管理員對(duì)網(wǎng)站上安裝的Web防護(hù)系統(tǒng)的遠(yuǎn)程監(jiān)督和管理提供了便利。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)、政府、個(gè)人對(duì)Web應(yīng)用程序的依賴程度越來(lái)越高，這就使得不法分子開(kāi)始利用各種攻擊工具對(duì)應(yīng)用程序進(jìn)行非法侵入，以達(dá)到自己的攻擊目的。Web應(yīng)用程序的安全防護(hù)不僅需要設(shè)計(jì)人員從應(yīng)用層面和系統(tǒng)層面對(duì)其進(jìn)行安全防御體系建立，還應(yīng)從提高用戶方的安全防護(hù)意識(shí)入手，以便建立全方位的安全防御體系。

參考文獻(xiàn)：

[1]李昌.Web應(yīng)用安全防護(hù)技術(shù)研究與實(shí)現(xiàn)[D].中南大學(xué)，2010.

[2]李必云，石俊萍.Web攻擊及安全防護(hù)技術(shù)研究[J].電腦知識(shí)與技術(shù)，2009，5（31）：8647-8649.

[3]龍興剛.Web應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J].通信技術(shù)，2013（7）：63-66.