高校常見Web風(fēng)險(xiǎn)分析及防護(hù)實(shí)踐

張光勇

摘要：隨著學(xué)校信息化快速發(fā)展， Web應(yīng)用在高校宣傳及信息化建設(shè)中發(fā)揮著越來越重要的作用， Web應(yīng)用的安全問題也日益突出。該文針對(duì)Web應(yīng)用的安全問題，對(duì)危險(xiǎn)漏洞風(fēng)險(xiǎn)進(jìn)行分析，并提出了相應(yīng)的防范措施及建議。

關(guān)鍵詞： web應(yīng)用； 漏洞； 預(yù)警； 處置； 運(yùn)維

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）10-0053-02

Abstract：With the rapid development of school informatization， Web application plays an increasingly important role in the publicity and informatization construction of colleges and universities， and the security of Web application is becoming more and more prominent. This paper analyzes the risk of dangerous vulnerability and puts forward some preventive measures and Suggestions for the security of Web application.

Key words：web application； vulnerability； warning； disposal； operations

隨著校園信息化的快速發(fā)展，信息系統(tǒng)已深入到校園工作和生活的各個(gè)層面，在高校師生員工的教學(xué)和生活中發(fā)揮著無可替代的作用。Web技術(shù)日臻成熟，Web應(yīng)用得到了廣泛的應(yīng)用，在為師生帶來方便服務(wù)的同時(shí)也帶來了一些網(wǎng)絡(luò)安全問題，被掛馬、SQL注入、網(wǎng)頁被篡改、信息泄露等現(xiàn)象屢見不鮮，對(duì)校園網(wǎng)的網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重的威脅。Web應(yīng)用的網(wǎng)絡(luò)安全問題已經(jīng)成為校園網(wǎng)網(wǎng)絡(luò)安全研究領(lǐng)域中的一個(gè)重要方向。

1 攻擊滲透web應(yīng)用

1.1 web應(yīng)用被攻擊原因分析

B/S模式因?yàn)榫哂胁渴鸷途S護(hù)方便、易于擴(kuò)展等特點(diǎn)，被開發(fā)者和使用者廣泛接受并使用。高校環(huán)境中，絕大多數(shù)的應(yīng)用系統(tǒng)都已經(jīng)或準(zhǔn)備遷移到B/S環(huán)境下，B/S系統(tǒng)的數(shù)量少則有十幾套，多則可達(dá)上百套。各應(yīng)用系統(tǒng)中保存有大量數(shù)據(jù)，包括教師和學(xué)生的個(gè)人隱私信息，存在很大的攻擊價(jià)值，容易擴(kuò)大政治影響、獲取經(jīng)濟(jì)利益、個(gè)人隱私信息等。同時(shí)針對(duì)B/S系統(tǒng)攻擊的門檻很低，因?yàn)榛ヂ?lián)網(wǎng)上大量的黑客培訓(xùn)、攻擊工具泛濫，幾分鐘的時(shí)間就可以掌握進(jìn)行攻擊的相關(guān)知識(shí)。Web應(yīng)用多采用80端口對(duì)外提供服務(wù)，易被檢測(cè)和攻擊，根據(jù)統(tǒng)計(jì)，超過75%的攻擊事件都是針對(duì)B/S系統(tǒng)的。因?yàn)椴渴饡r(shí)間因素和環(huán)境的不同，B/S系統(tǒng)多數(shù)都分散于獨(dú)立的物理機(jī)或虛擬機(jī)中，同時(shí)，由于人員的多樣性和不可確定性，也給信息系統(tǒng)的安全帶來更多的隱患和不確定因素。

1.2 web應(yīng)用危險(xiǎn)漏洞介紹

1.2.1 SQL注入漏洞

攻擊者通過構(gòu)建特殊的SQL語句，將其拼接到Web表單或請(qǐng)求域名URL中，用于欺騙web服務(wù)器去執(zhí)行，進(jìn)而執(zhí)行攻擊者所要的操作。該漏洞可導(dǎo)致數(shù)據(jù)庫(kù)被拖庫(kù)、撞庫(kù)，敏感信息被泄露、篡改或刪除，由此而引發(fā)的衍生威脅有賬號(hào)信息盜取、上傳webshell木馬到服務(wù)器，達(dá)到遠(yuǎn)程控制整個(gè)web網(wǎng)站服務(wù)，以此為跳板進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)其他主機(jī)。

1.2.2 XSS跨站腳本漏洞

惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該網(wǎng)頁或點(diǎn)擊網(wǎng)頁鏈接時(shí)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。該漏洞可以盜取用戶賬號(hào)cookie信息，修改用戶設(shè)置，重定向到黑客的釣魚站點(diǎn)，可控制用戶執(zhí)行DDOS攻擊，利用客戶端瀏覽器的漏洞傳播蠕蟲等。

1.2.3 Struts2框架命令執(zhí)行漏洞

Apache Struts2框架使用中的ParametersInterceptor不允許參數(shù)名中出現(xiàn)“#”字符，但如果使用了Java的unicode字符串表示＼u0023，攻擊者就可以繞過保護(hù)，修改保護(hù)Java方式執(zhí)行的值，進(jìn)一步可調(diào)用java語句來執(zhí)行任意命令，甚至控制操作系統(tǒng)。執(zhí)行漏洞可以利用此漏洞在系統(tǒng)上執(zhí)行任意命令，達(dá)到遠(yuǎn)程控制服務(wù)器的目的。

1.2.4 命令注入漏洞

由于Web應(yīng)用程序?qū)τ脩籼峤坏臄?shù)據(jù)過濾不嚴(yán)格，導(dǎo)致黑客可以通過構(gòu)造特殊命令字符串的方式，將數(shù)據(jù)提交至Web應(yīng)用程序中，并利用該方式執(zhí)行外部程序或系統(tǒng)命令實(shí)施攻擊。可以利用此漏洞在系統(tǒng)上執(zhí)行任意命令，達(dá)到遠(yuǎn)程控制服務(wù)器的目的。

1.2.5 文件上傳漏洞

文件上傳漏洞指攻擊者利用程序缺陷繞過系統(tǒng)對(duì)文件的驗(yàn)證與處理策略將惡意程序上傳到服務(wù)器并獲得執(zhí)行服務(wù)器端命令。直接或間接上傳webshell木馬文件，達(dá)到遠(yuǎn)程控制整個(gè)web網(wǎng)站服務(wù)，以此為跳板進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)其他主機(jī)。

1.3 web危險(xiǎn)漏洞的防范

1.3.1 SQL注入漏洞

可以通過使用以下方法到達(dá)防范SQL注入漏洞的目的：

查詢語句使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口；檢查變量數(shù)據(jù)類型和格式，并嚴(yán)格規(guī)定數(shù)據(jù)長(zhǎng)度；轉(zhuǎn)譯或過濾特殊符號(hào)；使用普通用戶權(quán)限連接數(shù)據(jù)庫(kù)連接；指定返回的錯(cuò)誤頁面；設(shè)置web目錄的許可權(quán)限。

1.3.2 XSS跨站腳本漏洞

驗(yàn)證輸入數(shù)據(jù)的格式、長(zhǎng)度、范圍和內(nèi)容，對(duì)script、iframe等字樣進(jìn)行嚴(yán)格檢查，允許有限的html，避免插入用戶可控的數(shù)據(jù)輸出確認(rèn)；對(duì)輸入的經(jīng)常造成安全問題的字符進(jìn)行編碼。

1.3.3 Struts2框架命令執(zhí)行漏洞

通過升級(jí)struts2框架到最新版本可以解決該問題。

1.3.4 命令注入漏洞

在代碼級(jí)調(diào)用shell時(shí)，對(duì)命令行中的特殊字符進(jìn)行轉(zhuǎn)義，可以有效解決該漏洞存在的問題。

1.3.5 文件上傳漏洞

通過將文件上傳的目錄設(shè)置為不可執(zhí)行、多種組合方式驗(yàn)證文件類型、使用隨機(jī)數(shù)改寫上傳文件的文件名和訪問路徑的方式可以解決該漏洞問題。

2 安全防護(hù)web應(yīng)用

2.1 事前安全預(yù)警發(fā)現(xiàn)

WPDRRC信息安全模型是我國(guó)“八六三”信息安全專家組提出的適合中國(guó)國(guó)情的信息系統(tǒng)安全保障體系建設(shè)模型，信息安全模型在信息系統(tǒng)安全建設(shè)中起著重要的指導(dǎo)作用。其中W就是預(yù)警的環(huán)節(jié)，以此安全模型作為參考，通過web應(yīng)用安全防護(hù)的預(yù)警，在應(yīng)用系統(tǒng)的正式上線后，第一時(shí)間發(fā)現(xiàn)安全問題，根據(jù)發(fā)現(xiàn)的安全問題危害嚴(yán)重程度，按步驟有效完成相應(yīng)的防護(hù)工作，防止其被惡意攻擊利用，造成嚴(yán)重的安全事故。通過使用專業(yè)的漏洞掃描工具進(jìn)行應(yīng)用系統(tǒng)的安全弱點(diǎn)檢查，可以有效地發(fā)現(xiàn)問題。

2.2 事中安全加固實(shí)施

通過設(shè)置黑白名單、過濾特殊字符、驗(yàn)證數(shù)據(jù)輸入輸出等方式修復(fù)代碼漏洞。安全加固web應(yīng)用及其支撐組件（操作系統(tǒng)、數(shù)據(jù)庫(kù)、腳本等），防止攻擊者攻擊web應(yīng)用支撐組件的方式獲取到網(wǎng)站乃至服務(wù)器的管理權(quán)限。通過采用專業(yè)的防護(hù)設(shè)備，如web應(yīng)用防火墻、防篡改系統(tǒng)、入侵防御等產(chǎn)品，實(shí)現(xiàn)系統(tǒng)安全加固。

2.3 事后安全應(yīng)急處置

當(dāng)web站點(diǎn)被攻擊成功后，大多數(shù)的黑客都會(huì)通過一些提權(quán)漏洞，創(chuàng)建具備管理員權(quán)限的系統(tǒng)賬號(hào)，打開系統(tǒng)遠(yuǎn)程管理或者安裝系統(tǒng)級(jí)別的后門木馬，實(shí)現(xiàn)遠(yuǎn)程控制，進(jìn)而控制整個(gè)服務(wù)器操作系統(tǒng)。因此，必須要對(duì)服務(wù)器操作系統(tǒng)進(jìn)行安全檢查，以確保服務(wù)器操作系統(tǒng)是安全可信的，從而避免網(wǎng)站漏洞修復(fù)、webshell木馬查殺后，服務(wù)器還是被惡意攻擊者遠(yuǎn)程控制著。服務(wù)器操作系統(tǒng)的安全檢查，涉及的內(nèi)容比較廣，主要檢查的項(xiàng)目有：系統(tǒng)賬號(hào)、啟動(dòng)服務(wù)、異常行為、關(guān)鍵日志等。

3 Web站點(diǎn)運(yùn)維建議

在Web站點(diǎn)運(yùn)維過程中，通過定期進(jìn)行檢查，有助于幫助用戶及時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)，獲取系統(tǒng)的信息安全狀況，有助于幫助用戶更好的分配有限的資源。建議從以下幾個(gè)方面進(jìn)行：

1）定期執(zhí)行應(yīng)用系統(tǒng)安全漏洞檢查，先于惡意攻擊者發(fā)現(xiàn)，及時(shí)調(diào)整防護(hù)策略。

2）定期執(zhí)行應(yīng)用系統(tǒng)木馬后門檢查，第一時(shí)間發(fā)現(xiàn)存在的威脅并清理，保證發(fā)生安全事故的影響損失最小化。

3）定期執(zhí)行應(yīng)用系統(tǒng)的數(shù)據(jù)備份工作，保證發(fā)生安全事故后能夠最短時(shí)間內(nèi)的業(yè)務(wù)恢復(fù)工作。

4）參照專業(yè)安全的web安全防護(hù)解決方案，構(gòu)建高度安全的應(yīng)用防護(hù)框架，確保web應(yīng)用及其支撐平臺(tái)運(yùn)行在高度安全、可信的環(huán)境中。

5）將應(yīng)用系統(tǒng)變更、維護(hù)、升級(jí)等基礎(chǔ)工作流程規(guī)范化。

4 結(jié)語

本文分析了高校Web站點(diǎn)存在的安全風(fēng)險(xiǎn)，并針對(duì)主要的安全風(fēng)險(xiǎn)提出了具體的防范措施，就Web站點(diǎn)運(yùn)維提出了建議。Web安全是一項(xiàng)動(dòng)態(tài)的持續(xù)過程、不斷改進(jìn)的工作，沒有一勞永逸的架構(gòu)和解決方案，需要系統(tǒng)維護(hù)人員不斷改進(jìn)安全措施、提高技術(shù)手段，完善信息系統(tǒng)的安全體系，高校的 Web 應(yīng)用系統(tǒng)才可以安全穩(wěn)定地運(yùn)行，為師生提供更好的服務(wù)。

參考文獻(xiàn)：

[1] 盧冬海. 高校web安全解決方案[J] .網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2016， 4：75-76.

[2] 楊龍.校園網(wǎng)Web網(wǎng)站網(wǎng)絡(luò)安全問題分析與解決方法[J] .電腦知識(shí)與技術(shù)， 2016， 35（12）：57-58.

[3] 王雪.淺析高校信息系統(tǒng)安全隱患及防范措施[J] .吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)， 2017， 26 （1）：41-43.

[4] 廖宇，張彤.Web安全已成校園網(wǎng)最大痛點(diǎn)[J].中國(guó)教育網(wǎng)絡(luò)， 2016，9：32-33.

[5] 姚傳軍. WPDRRC信息安全模型在安全等級(jí)保護(hù)中的應(yīng)用[J]. 光通信研究， 2010，（5）：27-29.

[6] 孟治強(qiáng).高校Web應(yīng)用安全威脅及對(duì)策研究[J]. 電腦知識(shí)與技術(shù)， 2017，26（13）：28-29.

[7] 360.Struts2漏洞拉響網(wǎng)站安全紅色警報(bào)[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)2011，14：42-42.