淺談Web應(yīng)用的網(wǎng)絡(luò)安全

（河北農(nóng)業(yè)大學(xué)，理工學(xué)院 河北 滄州 061100）

郝雅倩，劉衛(wèi)凱，鄭 晗，王棟軒（通訊作者）

1 引言

Web技術(shù)在商業(yè)活動(dòng)上的使用創(chuàng)造下了舉世矚目的成就。此外Web服務(wù)技也普及于日常生活。新興技術(shù)的出現(xiàn)通常是不完善的，伴隨Web應(yīng)用技術(shù)出現(xiàn)的是網(wǎng)絡(luò)黑客的關(guān)注。他們尋找應(yīng)用中的漏洞，趁虛而入，從而操縱Web服務(wù)器。通過(guò)修改web內(nèi)容、傳播代碼等方式攻擊用戶。伴隨著Web技術(shù)的興起與發(fā)展，安全問(wèn)題備受矚目。

2 Web服務(wù)的定義

從非服務(wù)端使用者的方向來(lái)講，Web服務(wù)是一種基于Web的對(duì)象/組件，也就是通過(guò)Web來(lái)調(diào)用API對(duì)使用者提供服務(wù)?？蛻粲镁幊痰男问酵ㄟ^(guò)Web來(lái)調(diào)用Web service。而Web service則是通過(guò)協(xié)議來(lái)創(chuàng)建分布式應(yīng)用程序[1]。

3 發(fā)展現(xiàn)狀

根據(jù)調(diào)查數(shù)據(jù)顯示，社交網(wǎng)絡(luò)服務(wù)和社交媒體迅速改變了互聯(lián)網(wǎng)使用的面貌，現(xiàn)在許多支持在線社交互動(dòng)的公司可以收集大量的社會(huì)信息,開(kāi)發(fā)新的服務(wù)[2]。

隨著人們安全意識(shí)的增加，基礎(chǔ)防范技術(shù)逐漸成熟。于是，黑客將注意力轉(zhuǎn)變到Web應(yīng)用端上。根據(jù)CERT/CC提供的2016年國(guó)內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)分析，2016年主要網(wǎng)絡(luò)威脅為移動(dòng)互聯(lián)網(wǎng)惡意程序和惡意APP、DDOS攻擊、程序漏洞以及網(wǎng)站安全等[3]?，F(xiàn)階段，按惡意行為進(jìn)行分類，黑客利用網(wǎng)絡(luò)攻擊主要實(shí)現(xiàn)流氓行為、惡意扣費(fèi)、資費(fèi)消耗等。

黑客技術(shù)的提升給網(wǎng)絡(luò)用戶帶來(lái)很大的危害。但是，如今反網(wǎng)絡(luò)入侵技術(shù)的研究也越來(lái)越多。并且，國(guó)家近些年設(shè)定的安全方面的法律日益完善。

4 常用攻擊手段及防御手段

4.1 XSS跨站攻擊

XSS又稱CSS（Cross Site Script，跨站腳本攻擊），是指攻擊者將特殊HTML代碼放入指定Web頁(yè)面內(nèi)，當(dāng)使用者點(diǎn)擊該網(wǎng)頁(yè)進(jìn)行閱讀時(shí)，惡意代碼自動(dòng)執(zhí)行，以此來(lái)攻擊用戶[4]。

XSS攻擊屬于被動(dòng)方式。攻擊者需要先構(gòu)建一個(gè)具有跨站的網(wǎng)頁(yè)，或者是一個(gè)電子郵件。一旦用戶點(diǎn)擊鏈接，則觸發(fā)對(duì)被攻擊站點(diǎn)的頁(yè)面請(qǐng)求。攻擊者的請(qǐng)求將被送往有漏洞的網(wǎng)站服務(wù)器，方便攻擊者偷取登錄信息、cookies或其他的數(shù)據(jù)。

XSS主要分為三類，分別為反射型、存儲(chǔ)型和DOM型[5]。

針對(duì)XSS，一般可以采用以下方法進(jìn)行防護(hù)：

（1）HttpOnly

HttpOnly是指在cookie中設(shè)置HttpOnly屬性，通過(guò)JavaScript腳本將無(wú)法讀取到cookie信息。嚴(yán)格來(lái)講，它不是直接對(duì)抗XSS的手段，而是XSS發(fā)生后防止用戶Cookie被劫持[6]。并不是所有的瀏覽器都支持此操作。

（2）輸入規(guī)范

規(guī)范用戶輸入的格式。例如，用戶在登錄網(wǎng)站時(shí)填寫(xiě)用戶名、密碼，要求只能輸入一定長(zhǎng)度的字母和數(shù)字組合。這樣可以在一定程度上讓一些特殊字符的攻擊失效。

（3）輸出過(guò)濾

輸出過(guò)濾是指用戶的變量輸出到HTML頁(yè)面時(shí)，把其中敏感的字符轉(zhuǎn)成別的編碼字符，達(dá)到過(guò)濾的目的。

4.2 SQL注入

SQL注入攻擊就是攻擊者向Query中輸入部分SQL語(yǔ)句，將本不應(yīng)存在的數(shù)據(jù)導(dǎo)入到程序中，非法操作數(shù)據(jù)庫(kù)或網(wǎng)站，從而竊取信息。

在許多Web網(wǎng)站的操作系統(tǒng)中，當(dāng)變量處理不當(dāng)或篩選數(shù)據(jù)不足時(shí)，有幾率觸發(fā)SQL注入漏洞。根據(jù)網(wǎng)站所使用的Web腳本不同，SQL注入攻擊可分為ASP、PHP、JSP、ASPX注入等多種注入方式[7]。SQL注入攻擊不僅僅局限于SQL Server數(shù)據(jù)庫(kù)中，后臺(tái)使用Access、MYSQL等數(shù)據(jù)庫(kù)的網(wǎng)站等都可能存在漏洞。

預(yù)防SQL注入的方法主要有：

（1）SQL語(yǔ)句預(yù)編譯

避免SQL注入的最優(yōu)方法是SQL語(yǔ)句預(yù)編譯和綁定變量[8]。SQL語(yǔ)句內(nèi)需要的參數(shù)提前編譯，無(wú)論用戶輸入任何參數(shù)都不會(huì)造成語(yǔ)句本身的結(jié)構(gòu)變化。

（2）輸入規(guī)范化

對(duì)表中數(shù)據(jù)進(jìn)行類型限制，這樣會(huì)在很大程度上減少攻擊。

4.3 DDoS攻擊

DDoS攻擊 (Distributed Denial of Service，分布式拒絕服務(wù)攻擊)，是指黑客通過(guò)一些手段在大量主機(jī)上安裝預(yù)先設(shè)計(jì)好的DDoS攻擊控制程序，通過(guò)攻擊程序?qū)χ鳈C(jī)進(jìn)行一系列的惡意操作[9]。DDoS攻擊合法申請(qǐng)大量網(wǎng)絡(luò)資源，從而造成網(wǎng)絡(luò)癱瘓。

針對(duì)DDoS，一般可以采用以下方法進(jìn)行防護(hù)：

（1）增加帶寬

將流量分散到多個(gè)服務(wù)器上，進(jìn)行均衡，避免大流量長(zhǎng)時(shí)間占用服務(wù)器。

（2）鎖定DNS服務(wù)器

確保DNS服務(wù)器以及網(wǎng)站和其他資源都處于負(fù)載均衡的保護(hù)狀態(tài)下，也可以使用專業(yè)公司提供的冗余DNS。

（3）配置網(wǎng)絡(luò)層

確保路由器能夠屏蔽垃圾數(shù)據(jù)包，剔除不用的協(xié)議，并且設(shè)置好防火墻。此外，可以讓供應(yīng)商進(jìn)行邊界網(wǎng)絡(luò)的設(shè)置，保證能夠得到一個(gè)最大的最通暢的帶寬。

5 結(jié)語(yǔ)

在如今網(wǎng)絡(luò)技術(shù)飛速發(fā)展的現(xiàn)況下，各種攻擊手段。網(wǎng)絡(luò)黑客利用系統(tǒng)在不同層面的漏洞竊取用戶私人信息，嚴(yán)重?fù)p害用戶權(quán)益。我們只有了解各種攻擊手段的原理才能在根本上消除網(wǎng)絡(luò)攻擊帶來(lái)的危害。雖然，現(xiàn)如今的防御技術(shù)在不斷提升，但是仍有很多不足，需要進(jìn)一步的改進(jìn)與提高，為網(wǎng)絡(luò)用戶提供安全可靠的網(wǎng)絡(luò)環(huán)境。

[1] 楊濤,劉錦德.Web Services技術(shù)綜述——一種面向服務(wù)的分布式計(jì)算模式[J].計(jì)算機(jī)應(yīng)用,2004(08):1-4.

[2] Sihyun Jeong,Jaehoon Lee,Junhyun Park,Chong-kwon Kim.The Social Relation Key: A new paradigm for security[J].Information Systems. 2017,71

[3] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心。2016 年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[R]。2017 年 4 月

[4] 日昇月恒, XSS的原理與分類[EB/OL], (2015-07-01)[2017-01-09],http://blog.csdn.net/hitwangpeng/article/details/46928175.

[5] 古開(kāi)元,周安民.跨站腳本攻擊原理與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(12):19-21.

[6] 譚彬,楊明,梁業(yè)裕,寧建創(chuàng).Web安全漏洞研究和防范[J].通信技術(shù),2017,50(04):795-802.

[7] 劉岳,盛杰,尹成語(yǔ).WEB應(yīng)用中SQL注入攻擊與防御策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(04):109-111.

[8] 陳業(yè)雄. 面向AJAX架構(gòu)Web服務(wù)的攻擊和防御[D].電子科技大學(xué),2008

[9] 王希斌,廉龍穎,高輝,郎春玲.網(wǎng)絡(luò)安全實(shí)驗(yàn)中DDoS攻擊實(shí)驗(yàn)的實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù),2016,14(01):68-71.