高校校園網(wǎng)Web應(yīng)用信息泄露問題分析與對策

◆陳永忠

高校校園網(wǎng)Web應(yīng)用信息泄露問題分析與對策

◆陳永忠

(南京農(nóng)業(yè)大學(xué)圖書與信息中心 江蘇 210095)

高校網(wǎng)絡(luò)信息化建設(shè)發(fā)展迅速，各類Web應(yīng)用服務(wù)不斷推出，涉及師生教學(xué)、科研服務(wù)和校務(wù)管理的方方面面，在信息應(yīng)用便捷高效的同時，信息安全威脅不容忽視，網(wǎng)絡(luò)攻擊、信息泄露、網(wǎng)絡(luò)詐騙等安全問題層出不窮。本文結(jié)合實際案例列舉了校園網(wǎng)常見信息泄露問題的表現(xiàn)，分析其產(chǎn)生的主客觀原因，提出解決方案與防范對策，以促進(jìn)校園網(wǎng)絡(luò)信息安全建設(shè)邁上新臺階。

校園網(wǎng)；Web應(yīng)用；信息泄露；信息安全

0 引言

互聯(lián)網(wǎng)、云計算技術(shù)飛速發(fā)展，信息爆炸的大數(shù)據(jù)時代如期而至。網(wǎng)絡(luò)的開放性、自由性，Web應(yīng)用服務(wù)的智能化、互動性特點，使得人們通過互聯(lián)網(wǎng)檢索、收集、分析各類信息非常方便。但是，并非所有信息都是可自由獲取的，有的是需要授權(quán)才能訪問的，如何保護(hù)這類信息不被泄露，已成為日益突出的網(wǎng)絡(luò)信息安全問題。高校在開展校園信息化建設(shè)中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施不斷完善，服務(wù)器、存儲等信息服務(wù)硬件陸續(xù)搭建，網(wǎng)站、信息系統(tǒng)、應(yīng)用服務(wù)等軟件平臺逐步豐富，通過網(wǎng)絡(luò)實現(xiàn)了宣傳展示、教學(xué)交流、科研申報、辦公管理等。隨著校園網(wǎng)絡(luò)信息化程度的提高，網(wǎng)絡(luò)信息安全問題也日趨嚴(yán)峻。網(wǎng)站、系統(tǒng)漏洞被挖出、敏感信息遭泄露等安全問題頻繁出現(xiàn)，校園網(wǎng)已成為不法分子攫取不法收益的“溫床”。大數(shù)據(jù)時代里，信息泄露問題更加普遍，信息泄露和隱私安全已成為高校網(wǎng)絡(luò)安全管理所面臨的最主要問題。據(jù)監(jiān)測統(tǒng)計，57%的數(shù)據(jù)竊取是通過Web攻擊實現(xiàn)的，不經(jīng)意的信息片段，一旦被攻擊者收集歸并，攻擊入侵，可能造成重要信息被泄露。因此，分析校園網(wǎng)絡(luò)信息泄露問題產(chǎn)生的原因，對做好校園網(wǎng)絡(luò)安全防護(hù)預(yù)警，提高應(yīng)急響應(yīng)效率，加強安全管理十分重要。

1 Web應(yīng)用信息泄露問題在校園網(wǎng)中的表現(xiàn)

1.1 Web應(yīng)用安全問題的由來

Web 應(yīng)用主要基于網(wǎng)絡(luò)層的 IP、傳輸層的 TCP 和應(yīng)用層的HTTP/HTTPS 等一系列協(xié)議來實現(xiàn)，凡是與這些協(xié)議相關(guān)的安全問題都可能影響 Web 應(yīng)用的安全性。由于 TCP/IP 協(xié)議棧自身的不健壯性以及應(yīng)用開發(fā)過程中的設(shè)計缺陷人為因素，導(dǎo)致 Web 應(yīng)用從實現(xiàn)機制上缺乏必要的可靠性和安全性。Web 攻擊正是利用Web服務(wù)應(yīng)用程序存在的缺陷、服務(wù)器操作系統(tǒng)的漏洞、僵尸網(wǎng)絡(luò)環(huán)境等發(fā)起竊取數(shù)據(jù)、假冒詐騙、篡改信息、拒絕服務(wù)等攻擊行為，造成對方遭受損失、系統(tǒng)破壞、影響惡劣。校園網(wǎng)中各類網(wǎng)站、系統(tǒng)開發(fā)人員技術(shù)能力不同，有的是在校師生利用業(yè)余時間設(shè)計編程，缺乏規(guī)范標(biāo)準(zhǔn)，后續(xù)技術(shù)維護(hù)無法跟上，管理散亂，隱患無窮。

Web應(yīng)用防護(hù)系統(tǒng)（Web Application Firewall，簡稱： WAF是基于應(yīng)用層的防護(hù)設(shè)備，可有效檢測和攔截來自互聯(lián)網(wǎng)對局域網(wǎng)內(nèi)網(wǎng)站和應(yīng)用系統(tǒng)的各類攻擊。從學(xué)校部署的WAF所產(chǎn)生的大量告警日志統(tǒng)計結(jié)果看，2017年全年我校校園網(wǎng)共監(jiān)測攔截針對Web應(yīng)用的各類攻擊214萬次，平均每月近18萬次。攻擊量比較大的有11類：信息泄露、SQL注入、腳本執(zhí)行、請求偽造、腳本上傳、緩沖區(qū)溢出、XSS跨站攻擊、腳本木馬、惡意掃描、命令執(zhí)行、可疑入侵（見圖1）。其中，信息泄露類型的攻擊量竟高達(dá)200萬次以上。

圖1 Web應(yīng)用攻擊量分類年度統(tǒng)計

1.2 Web應(yīng)用信息泄露的類型

WAF根據(jù)攻擊行為特征對信息泄露類型的攻擊可檢測出20種攻擊子類，具體包括：Apache Tomcat管理頁面未授權(quán)訪問、Dedecms Mysql查詢錯誤文件未授權(quán)訪問、ASP/JSP源碼泄露輸出、HTTP請求頭部包含Translate字段、IIS信息泄露、JBoss管理頁面未授權(quán)訪問、Microsoft .NET應(yīng)用程序錯誤信息、PHPCMS文件讀取、phpmyadmin信息泄露、phpinfo信息泄露、PHP服務(wù)信息泄露、SouthidcEditor編輯器管理頁面未授權(quán)訪問、SQL信息泄露、TRS信息泄露、Windows下訪問注冊表操作、訪問/讀取/包含關(guān)鍵文件、訪問Linux系統(tǒng)關(guān)鍵文件、禁止訪問phpmyadmin頁面、可疑的文件包含、下載關(guān)鍵文件。

通過對攻擊子類的歸類統(tǒng)計分析，結(jié)合筆者日常工作中檢測發(fā)現(xiàn)與處置的各類安全威脅事件，總結(jié)出以下幾類校園網(wǎng)絡(luò)信息泄露常見的表現(xiàn)類型：

（1）瀏覽器Cookie泄露用戶信息

Cookie是一種Web服務(wù)器通過瀏覽器在訪問者的硬盤上存儲信息的手段，一般以文本的形式存儲在瀏覽器的臨時文件中，目的在于幫助網(wǎng)站記憶用戶之前進(jìn)行的操作或用戶名密碼等，提高訪問速度，統(tǒng)計用戶個人資料以實現(xiàn)各種各樣的個性化服務(wù)。由于Cookie傳遞的開放性，在服務(wù)器和客戶端之間明文傳送或傳送經(jīng)過MD5簡單加密的Cookie文件，其中保存了用戶賬戶ID、密碼之類，一旦被截獲、盜用可造成Cookie欺騙，即冒用用戶身份登錄系統(tǒng)獲取敏感信息，或者直接明文讀取Cookie信息從而泄露用戶隱私。

2017年11月，經(jīng)檢測學(xué)校某工作服務(wù)系統(tǒng)登錄頁面存在水平越權(quán)訪問漏洞，攻擊者可通過滲透工具截獲用戶賬戶的Cookie信息，修改其中參數(shù)后可冒充其他用戶登錄系統(tǒng)，越權(quán)查看系統(tǒng)內(nèi)他人的個人信息。

由于Cookie成了用戶整個身份的代替，其安全性決定了整個系統(tǒng)的安全性。解決的方法包括通過加密客戶端Cookie，寫入隨機值或主機參數(shù)；客戶端Cookie與服務(wù)器端Session配合使用；及時清空Cookie等方法。我校對Web應(yīng)用系統(tǒng)采用接入統(tǒng)一身份認(rèn)證方式取代系統(tǒng)原登錄認(rèn)證入口，并應(yīng)用了SSL數(shù)字證書加密技術(shù)，限定用戶唯一登錄賬號，對登錄信息加密傳輸與存儲，規(guī)范管理，保障安全。

（2）Web服務(wù)網(wǎng)站敏感文件可訪問讀取或下載，泄露數(shù)據(jù)庫信息

PHPInfo()函數(shù)主要用于網(wǎng)站建設(shè)過程中測試搭建的PHP環(huán)境是否正確，網(wǎng)站管理員在測試完畢后如未及時刪除帶有該函數(shù)的測試文件，當(dāng)攻擊者成功探查訪問到這些測試頁面時，會通過瀏覽器輸出的方式暴露服務(wù)器的配置、路徑等敏感信息。常見的測試文件有phpinfo.php、1.php和test.php。網(wǎng)站管理員修改配置、升級備份后，有可能把配置、備份文件留在網(wǎng)站目錄中，如未采取訪問控制措施，網(wǎng)站存在遍歷目錄、任意文件下載漏洞，攻擊者可以通過惡意提交大量“../”之類的目錄跳轉(zhuǎn)來繞過服務(wù)器的安全限制，遍歷服務(wù)器上的任意文件，下載配置文件、備份文件甚至網(wǎng)站源代碼，甚至執(zhí)行系統(tǒng)命令。上述文件通常包含網(wǎng)站結(jié)構(gòu)信息、數(shù)據(jù)庫信息、管理員賬號密碼等，一旦被下載將導(dǎo)致敏感重要信息泄露。2017年7月，某機關(guān)處室的舊版網(wǎng)站被檢測出存在遍歷目錄漏洞，網(wǎng)站目錄下的備份文件壓縮包可被下載，其中保存了后臺數(shù)據(jù)庫管理員賬號密碼。

安全的做法是配置文件等敏感文件應(yīng)集中存放在授權(quán)訪問的文件夾下，備份文件應(yīng)另存他處。

（3）Web服務(wù)響應(yīng)頁面異常，報錯信息中泄露數(shù)據(jù)庫版本、文件路徑等信息

網(wǎng)站程序員為方便調(diào)試程序，通常會啟用頁面運行錯誤反饋功能，可及時了解程序運行故障原因，但又可被攻擊者利用來獲取網(wǎng)站開發(fā)框架、語言、數(shù)據(jù)庫名稱、版本和文件路徑等信息，惡意攻擊者可利用程序版本信息尋找對應(yīng)的漏洞，利用本地路徑信息對目標(biāo)服務(wù)器實施進(jìn)一步的攻擊。如圖2某Web應(yīng)用頁面訪問異常報錯信息泄露了服務(wù)器.NET框架的版本、開發(fā)語言ASP.NET的版本。

圖2 Web應(yīng)用程序運行錯誤后泄露開發(fā)環(huán)境信息

解決的方法是關(guān)閉程序調(diào)試信息顯示功能，重定向到指定的安全頁面。如修改 php.ini 文件，設(shè)置 expose_php = Off；修改apache的httpd.conf 設(shè)置：ServerSignature Off和ServerTokens Prod；修改nginx.conf，設(shè)置server_tokens off，均可以隱藏服務(wù)器的響應(yīng)頭“X-Powered-By”信息。

（4）Web服務(wù)程序有SQL注入漏洞，泄露數(shù)據(jù)庫信息

SQL（Structured Query Language，結(jié)構(gòu)化查詢語言）是一種最常使用的用于存取 Web 數(shù)據(jù)以及進(jìn)行 Web 數(shù)據(jù)查詢、更新和管理的數(shù)據(jù)庫查詢和程序設(shè)計語言，是實現(xiàn) Web 客戶端與數(shù)據(jù)庫服務(wù)器信息交互的重要工具。由于Web應(yīng)用程序未對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，從而存在非法獲取數(shù)據(jù)庫敏感數(shù)據(jù)的安全隱患，攻擊者可將惡意代碼注入“字符串”，使其得以在數(shù)據(jù)庫系統(tǒng)上執(zhí)行，實現(xiàn)攻擊目的。常見的攻擊手段有刷庫、拖庫、撞庫。

在對校園網(wǎng)網(wǎng)站、系統(tǒng)安全漏洞掃描檢測中發(fā)現(xiàn)，高危漏洞中SQL注入漏洞比較常見。2017年校內(nèi)檢測通知整改的事件中，SQL注入漏洞類占48%。如涉及學(xué)生資助事務(wù)管理的網(wǎng)站系統(tǒng)含有SQL注入漏洞，攻擊者可利用漏洞入侵并獲取含學(xué)生個人身份證號碼、家庭住址等敏感信息。

解決的方法是修改程序代碼，嚴(yán)格過濾用戶輸入非法字符，修復(fù)封堵漏洞。

（5）Web服務(wù)或服務(wù)器主機管理登錄弱口令，泄露敏感信息

一旦存在管理登錄弱口令，網(wǎng)站系統(tǒng)或服務(wù)器管理員賬戶密碼很容易被破解，系統(tǒng)遭入侵，導(dǎo)致信息泄露。如果服務(wù)器管理登錄使用了弱口令，而所安裝MySQL數(shù)據(jù)庫管理用戶又是默認(rèn)空密碼，只要服務(wù)器登錄口令被破解后，即可輕易獲取數(shù)據(jù)庫信息。2017年3月，學(xué)校圖書館匯文圖書管理系統(tǒng)的OPAC查詢Web頁面被檢測存在弱口令問題，賬號密碼同為學(xué)生學(xué)號可成功登錄，從而能夠獲取到包括學(xué)生身份號碼在內(nèi)的敏感信息。

服務(wù)器、數(shù)據(jù)庫管理登錄密碼設(shè)置應(yīng)符合安全強壯的復(fù)雜度要求，加強安全管理。

（6）網(wǎng)站公示信息泄露個人隱私

學(xué)生獎、助、貸費用的申請審批有名單在線公示的環(huán)節(jié)，其中可能公布了學(xué)生個人身份證號、家庭住址等隱私信息。這在前些年較為常見，近幾年隨著國家針對個人隱私信息保護(hù)法律法規(guī)的完善出臺，監(jiān)管宣傳力度的加大，各類公示信息中都注意個人敏感信息的特別處理或回避。2017年12月學(xué)校某學(xué)院網(wǎng)站被通報存在泄露學(xué)生身份證號碼的頁面，經(jīng)查為2014年學(xué)院獎勵學(xué)生的公示名單。

敏感信息如個人身份證號碼、家庭住址等需經(jīng)特殊處理后才能公示。

（7）Web程序設(shè)計缺陷，登錄身份認(rèn)證機制可被繞過，導(dǎo)致信息泄露

由于用戶身份認(rèn)證機制設(shè)計不健全，未加登錄驗證碼，或未對用戶ID進(jìn)行確認(rèn)，造成非法登錄或越權(quán)訪問，獲取其他用戶信息或其他數(shù)據(jù)信息。

2017年12月某學(xué)院網(wǎng)站被檢測出后臺管理登錄認(rèn)證機制存在設(shè)計缺陷，不僅密碼復(fù)雜度未強制要求，也沒有驗證碼校驗，攻擊者可使用“SQL萬能密碼”繞過后以管理員身份成功登錄，執(zhí)行網(wǎng)站管理權(quán)限的任意操作。

可采用統(tǒng)一身份認(rèn)證方式，增強系統(tǒng)登錄驗證機制，加密數(shù)據(jù)的傳輸與存儲等解決此類安全問題。

（8）Web中間件、Web服務(wù)程序管理頁面未授權(quán)訪問，易被植入木馬，泄露信息

Web服務(wù)中間件往往存在默認(rèn)管理控制臺，Apache、Weblogic等的Web管理控制臺通常有默認(rèn)的用戶名和密碼，如未修改，或存在弱口令，很容易被攻擊者利用入侵系統(tǒng)，上傳木馬程序，竊取敏感信息。Apache還曾被爆多個版本存在出血漏洞（OptionsBleed），可泄露服務(wù)器內(nèi)存中的敏感信息。這些隱患通常成為網(wǎng)絡(luò)攻擊者嘗試入侵的首要途徑，在WAF防護(hù)日志中存在大量此類攻擊嘗試的告警記錄便可見一斑。

及時修復(fù)存在的漏洞，更改Web管理控制臺默認(rèn)的用戶名和密碼，防止網(wǎng)站系統(tǒng)被入侵掛馬。

2 Web應(yīng)用信息泄露問題存在的主客觀原因分析與對策措施

2.1 主客觀原因分析

對上述幾種信息泄露方式的形成原因進(jìn)行歸類分析，可以看出：程序運行環(huán)境缺陷等純客觀因素如瀏覽器Cookie安全問題導(dǎo)致占10%，程序設(shè)計缺陷如登錄驗證機制不完善、有SQL注入漏洞等以客觀因素為主占20%，配置不當(dāng)如測試、管理控制臺未強制授權(quán)認(rèn)證、網(wǎng)站目錄可遍歷、敏感文件可下載、頁面響應(yīng)異常報錯信息泄露敏感信息等以主觀因素為主占50%，管理缺失如弱口令、公示敏感信息等純主觀因素占20%。因此，涉及主觀因素的信息泄露問題的比例竟達(dá)到70%?？梢?，管理不到位，安全意識薄弱是造成校園信息泄露的主要原因。

“三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言。在互聯(lián)網(wǎng)應(yīng)用中，用戶信息以何種方式存放于何處對用戶來說都是透明的，哪些是可以開放共享的，哪些是需要授權(quán)訪問的，必須分清理順，通過現(xiàn)有技術(shù)措施進(jìn)行安全管理。先進(jìn)的技術(shù)保證，是校園網(wǎng)安全建設(shè)的前提，入侵檢測與防護(hù)技術(shù)、訪問控制與身份認(rèn)證技術(shù)、漏洞掃描技術(shù)、行為審計技術(shù)等適當(dāng)?shù)貞?yīng)用，可在技術(shù)層面構(gòu)筑安全防線。規(guī)范的管理支持，是校園網(wǎng)安全運行的必要條件。建議通過以下管理措施來提高管理效果。

2.2 對策措施建議

（1）管理措施一

制定總體安全管理策略和具體安全管理制度，明確責(zé)任歸屬，形成學(xué)校領(lǐng)導(dǎo)、信息中心指導(dǎo)、院系主導(dǎo)的安全分級管理體系，責(zé)任層層落實、風(fēng)險步步化解。如建立以校級領(lǐng)導(dǎo)掛帥的網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組，制定網(wǎng)絡(luò)管理、網(wǎng)站管理、系統(tǒng)管理、密碼管理等系列管理制度，各單位主要負(fù)責(zé)人與學(xué)校簽署網(wǎng)絡(luò)信息安全責(zé)任承諾書等。

（2）管理措施二

確立具體可操作的安全管理工作規(guī)范，嚴(yán)格遵照執(zhí)行，建立漏洞管理閉環(huán)機制、監(jiān)測預(yù)警協(xié)作機制，形成監(jiān)控、預(yù)警、檢測、加固環(huán)環(huán)相扣的網(wǎng)絡(luò)安全管控機制，通過嚴(yán)密的管理措施，彌補技術(shù)與能力的短板。如按計劃及時更新升級操作系統(tǒng)和Web應(yīng)用軟件；制定主機操作系統(tǒng)、Web服務(wù)中間件的安全配置基線，定期檢查加固系統(tǒng)和應(yīng)用運行環(huán)境；定期集中掃描檢測安全漏洞，及時通知并跟蹤整改進(jìn)度；與官方和民間安全監(jiān)測機構(gòu)加強溝通協(xié)作，及時獲取威脅、漏洞信息，提高預(yù)警與應(yīng)急響應(yīng)工作效率。

（3）管理措施三

加強網(wǎng)絡(luò)信息安全知識普及、宣傳培訓(xùn)、技能學(xué)習(xí)，提升管理人員的業(yè)務(wù)能力，提高校園網(wǎng)用戶的安全防護(hù)意識。根據(jù)人員屬性分層次開展網(wǎng)絡(luò)安全知識技能培訓(xùn)，使建網(wǎng)的、管網(wǎng)的、用網(wǎng)的明確各自需要掌握的安全原則、應(yīng)承擔(dān)的安全責(zé)任。

3 結(jié)束語

在互聯(lián)網(wǎng)幾乎無處不在的信息時代，校園網(wǎng)作為其中的一部分，不可避免地會受到網(wǎng)絡(luò)安全威脅的影響。校園信息化的建設(shè)運行，必須考慮防入侵、防攻擊、防止信息泄露。充分運用適用的安全技術(shù)，建立和完善有效的安全管理制度，落實安全操作規(guī)范，才能使校園網(wǎng)絡(luò)信息安全管理實現(xiàn)可防、可控，才能在日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境中建立穩(wěn)固、主動的安全保障防線。

[1]程予希，吳兵，束紅. 高校校園網(wǎng)安全現(xiàn)狀調(diào)研及對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[2]鄭添健.大數(shù)據(jù)時代高校網(wǎng)絡(luò)安全保障體系分析[J].信息與電腦，2017.

[3]李雪.Web安全:技術(shù)與危機并進(jìn)[J].信息安全與通信保密，2010.

[4]李必云，石俊萍.Web攻擊及安全防護(hù)技術(shù)研究[J].電腦知識與技術(shù)，2009.

[5]李馥娟.從頻發(fā)的信息泄露事件分析Web服務(wù)安全[J].網(wǎng)絡(luò)信息安全，2012.