網(wǎng)站安全問(wèn)題及防護(hù)策略研究

吳振鵬

摘要：當(dāng)前，網(wǎng)站已經(jīng)成為黨政、醫(yī)療、教育、電子商務(wù)等行業(yè)共享信息、提供服務(wù)的重要載體，隨著互聯(lián)網(wǎng)技術(shù)的推進(jìn)，網(wǎng)站安全問(wèn)題越來(lái)越凸顯，成為威脅網(wǎng)站的重要隱患。文章總結(jié)了當(dāng)前網(wǎng)站建設(shè)、運(yùn)行的概況，對(duì)網(wǎng)站常見(jiàn)的安全問(wèn)題進(jìn)行分析研究，并針對(duì)性地提出安全防護(hù)策略，為網(wǎng)站穩(wěn)定、可靠地運(yùn)行提供借鑒。

關(guān)鍵詞：網(wǎng)站；安全；研究

隨著Internet的普及與發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴度越來(lái)越高，網(wǎng)站的應(yīng)用已經(jīng)深入到生活中的方方面面，給人們帶來(lái)了極大的便利。但是近幾年以來(lái)，網(wǎng)站攻擊事件層出不窮，網(wǎng)站正面臨著極大的安全威脅。前段時(shí)間，某平臺(tái)網(wǎng)站存在安全漏洞，遭受不明攻擊，幾百萬(wàn)賬戶信息被泄露，導(dǎo)致其他平臺(tái)如12306購(gòu)票網(wǎng)站大量用戶密碼遭“撞庫(kù)”破解，購(gòu)票訂單被惡意取消。因此，在網(wǎng)站的建設(shè)以及維護(hù)過(guò)程中，必須要掌握并采取完善的安全策略，提高網(wǎng)站的抗攻擊能力，從而保證網(wǎng)站的安全運(yùn)行。

1網(wǎng)站建設(shè)、運(yùn)行概況

計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使得Internet急劇擴(kuò)大，并且Web網(wǎng)站迅速增加。運(yùn)行在互聯(lián)網(wǎng)上的網(wǎng)站形形色色，從種類上來(lái)說(shuō)，有門戶網(wǎng)站、行業(yè)網(wǎng)站、娛樂(lè)網(wǎng)站、電商網(wǎng)站等。網(wǎng)站的來(lái)源一般是兩種，一種是沒(méi)有專門的技術(shù)人員，請(qǐng)專業(yè)的開(kāi)發(fā)公司來(lái)制作；另一種是有專業(yè)的開(kāi)發(fā)團(tuán)隊(duì)，負(fù)責(zé)網(wǎng)站的開(kāi)發(fā)與維護(hù)。網(wǎng)站所采用的開(kāi)發(fā)語(yǔ)言有PHP、JSP、ASP、ASP.NET等，常見(jiàn)的數(shù)據(jù)庫(kù)有Mysql、SQLServer、Oracle、Access等，部署的服務(wù)器有Windows和Linux。網(wǎng)站的性能方面，有的網(wǎng)站側(cè)重于提供高帶寬流量服務(wù)，比如視頻網(wǎng)站，有的側(cè)重于提供高并發(fā)服務(wù)，比如搶票、購(gòu)物網(wǎng)站。從網(wǎng)站后續(xù)維護(hù)來(lái)看，多數(shù)網(wǎng)站開(kāi)發(fā)完畢后，基本沒(méi)有技術(shù)上的保障，只是內(nèi)容上的更新，網(wǎng)站如果被攻擊，沒(méi)有處理的能力。總體來(lái)說(shuō)，大部分網(wǎng)站總會(huì)存在一些安全問(wèn)題，網(wǎng)站在互聯(lián)網(wǎng)上正常運(yùn)行，并不能說(shuō)明網(wǎng)站就沒(méi)有安全問(wèn)題，而是網(wǎng)站沒(méi)有可供不法份子覬覦的內(nèi)容。黨政機(jī)關(guān)門戶網(wǎng)站、電商網(wǎng)站等，往往是攻擊份子為達(dá)到不良目的活躍的重點(diǎn)區(qū)域。

2網(wǎng)站常見(jiàn)的安全問(wèn)題以及解決策略

當(dāng)前計(jì)算機(jī)犯罪手段比比皆是，而且網(wǎng)絡(luò)病毒、木馬等犯罪技術(shù)也隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展顯著提高?，F(xiàn)在人們很容易從網(wǎng)上下載到各種攻擊工具，通過(guò)這些工具不需要有專業(yè)的技術(shù)就可以對(duì)網(wǎng)站造成破壞，網(wǎng)站受到的安全威脅越來(lái)越大，所以對(duì)開(kāi)發(fā)維護(hù)人員提出的要求也越來(lái)越高。

2.1網(wǎng)絡(luò)安全問(wèn)題及策略

網(wǎng)站運(yùn)行于網(wǎng)絡(luò)之上，沒(méi)有穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境，網(wǎng)站也就談不上發(fā)揮效能，只能算是單機(jī)版的應(yīng)用。DDoS攻擊是常見(jiàn)的攻擊方式之一，它通過(guò)大量合法的請(qǐng)求來(lái)占用大量網(wǎng)絡(luò)資源，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。它通過(guò)網(wǎng)絡(luò)超載來(lái)阻撓干擾正常的網(wǎng)絡(luò)通訊，通過(guò)大量請(qǐng)求服務(wù)器，造成服務(wù)器超荷，從而阻斷某服務(wù)與用戶的正常通訊，干擾用戶正常的服務(wù)器訪問(wèn)。因?yàn)榫W(wǎng)站的實(shí)現(xiàn)是基于TCP/IP網(wǎng)絡(luò)協(xié)議，DDos攻擊就是針對(duì)這一協(xié)議的缺陷展開(kāi)的攻擊，攻擊者通過(guò)偽造TCP連接請(qǐng)求，使網(wǎng)站服務(wù)器消耗大量的資源來(lái)維護(hù)龐大的連接列表，從而難以響應(yīng)正?？蛻舻恼?qǐng)求，最終導(dǎo)致服務(wù)器的崩潰。此外，ARP欺騙攻擊也是常用的網(wǎng)絡(luò)攻擊方式，在被控制的主機(jī)內(nèi)植入ARP攻擊軟件，通過(guò)欺騙攻擊，截獲網(wǎng)段內(nèi)部主機(jī)的敏感數(shù)據(jù)，獲取有價(jià)值的數(shù)據(jù)包，造成被訪問(wèn)網(wǎng)站用戶信息的泄露。

針對(duì)以上攻擊，網(wǎng)站可以設(shè)立過(guò)濾器或者偵測(cè)器來(lái)檢測(cè)可疑的訪問(wèn)行動(dòng)，在攻擊信息抵達(dá)網(wǎng)站服務(wù)器之前進(jìn)行阻擋，保持服務(wù)器正常對(duì)外連接。還可以增加必要的網(wǎng)絡(luò)安全設(shè)備作為訪問(wèn)控制設(shè)備，比如防火墻，通過(guò)啟用防火墻的防DDoS的屬性或者設(shè)置訪問(wèn)策略，避免服務(wù)攻擊。另外，可以通過(guò)設(shè)置路由器SYN數(shù)據(jù)包流量速率來(lái)降低DDos攻擊風(fēng)險(xiǎn)。個(gè)人電腦也要進(jìn)行相關(guān)的安全設(shè)置，開(kāi)啟防火墻，及時(shí)修復(fù)漏洞，網(wǎng)絡(luò)維護(hù)人員要加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控，有不穩(wěn)定的突發(fā)大數(shù)據(jù)流量要及時(shí)查看原因，進(jìn)行處置?？傊?，無(wú)論是服務(wù)器端還是個(gè)人端所處的網(wǎng)絡(luò)環(huán)境，其穩(wěn)定性、安全性決定著網(wǎng)站運(yùn)行的可靠性以及用戶數(shù)據(jù)的保密性，網(wǎng)絡(luò)維護(hù)人員以及用戶，都要提高網(wǎng)絡(luò)安全防護(hù)意識(shí)，為網(wǎng)站的正常運(yùn)行，用戶的正常訪問(wèn)，提供良好的溫床。

2.2系統(tǒng)環(huán)境安全問(wèn)題及策略

Windows和Linux系統(tǒng)是網(wǎng)站部署常見(jiàn)的系統(tǒng)，Windows以Server版本為主，Linux以Ubuntu和CentOS為主，每個(gè)系統(tǒng)版本都有各自的特性，開(kāi)發(fā)人員可以根據(jù)網(wǎng)站的特點(diǎn)選擇合適的系統(tǒng)進(jìn)行部署。Windows系統(tǒng)簡(jiǎn)明的操作界面極大方便普通用戶的使用，但與此同時(shí)，針對(duì)Windows系統(tǒng)的惡意攻擊也多，各種漏洞備受詬病，2017年席卷全球的“勒索病毒”，就是利用了Windows的漏洞，造成大量用戶遭受損失。Linux系統(tǒng)相比較Windows系統(tǒng)，安全性和穩(wěn)定性有很大的提高，但是文件目錄的權(quán)限設(shè)置過(guò)高容易造成普通用戶文件訪問(wèn)越權(quán)，管理員權(quán)限分配不準(zhǔn)確也容易為攻擊人員留下入口。

如果網(wǎng)站部署于Windows系統(tǒng)，要及時(shí)更新安裝最新的補(bǔ)丁，修復(fù)漏洞，防火墻要打開(kāi)，設(shè)置完善的安全策略。網(wǎng)站部署到Linux系統(tǒng)，網(wǎng)站目錄權(quán)限要根據(jù)實(shí)際需求準(zhǔn)確設(shè)置訪問(wèn)權(quán)限，權(quán)限不能過(guò)高也不能過(guò)低。Linux系統(tǒng)要關(guān)閉Telnet服務(wù)，關(guān)閉root用戶的遠(yuǎn)程登錄，關(guān)閉SSH登錄端口，只為管理員IP設(shè)置登錄端口的訪問(wèn)權(quán)限。兩種系統(tǒng)的管理員用戶密碼復(fù)雜度要提高，一般是大小寫字母加特殊字符。端口訪問(wèn)權(quán)限，只開(kāi)放有用的端口即可，比如80端口，其他無(wú)用端口都要關(guān)閉，不給不法分子留下可乘之機(jī)。

2.3網(wǎng)站系統(tǒng)安全問(wèn)題及策略

無(wú)論是網(wǎng)絡(luò)還是系統(tǒng)環(huán)境，只能算是外部的環(huán)境，外部環(huán)境安全系數(shù)再高，網(wǎng)站本身如果存在安全漏洞，也是極大的安全威脅。

2.3.1數(shù)據(jù)庫(kù)攻擊

SQL注入是數(shù)據(jù)庫(kù)攻擊常見(jiàn)的手段，所謂SQL注入，指的是通過(guò)把SQL命令插入到Web表單中提交或者頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意SQL命令。SQL注入是通過(guò)構(gòu)建特殊的字符串作為參數(shù)傳遞到服務(wù)器，這些字符串是SQL語(yǔ)句的組合，如果網(wǎng)站程序沒(méi)有對(duì)用戶輸入的參數(shù)進(jìn)行過(guò)濾檢查，SQL注入的實(shí)施就非常簡(jiǎn)單了。數(shù)據(jù)庫(kù)的攻擊應(yīng)該是所有威脅網(wǎng)站安全最嚴(yán)重的問(wèn)題之一，數(shù)據(jù)庫(kù)存儲(chǔ)了網(wǎng)站所有的信息，一旦發(fā)生數(shù)據(jù)庫(kù)攻擊，會(huì)造成數(shù)據(jù)泄露，嚴(yán)重的會(huì)造成數(shù)據(jù)庫(kù)丟失，后果無(wú)法想象。

其實(shí)，解決SQL注入的方式也比較簡(jiǎn)單，即永遠(yuǎn)不要相信前臺(tái)用戶的輸入內(nèi)容，對(duì)所有的信息都要進(jìn)行校驗(yàn)，對(duì)所有需要傳遞到服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行查詢、操作的參數(shù)進(jìn)行過(guò)濾檢查即可。除了開(kāi)發(fā)過(guò)程中注意加強(qiáng)數(shù)據(jù)的檢查，還可以使用一些檢測(cè)工具，比如SQLMap，對(duì)網(wǎng)址進(jìn)行檢查，找出存在SQL注入的頁(yè)面進(jìn)行修復(fù)。

2.3.2跨站腳本攻擊

跨站腳本攻擊指攻擊者利用網(wǎng)站沒(méi)有對(duì)用戶提交的數(shù)據(jù)進(jìn)行安全過(guò)濾，進(jìn)而添加代碼，嵌入網(wǎng)站頁(yè)面，其他用戶在訪問(wèn)該頁(yè)面時(shí)，都會(huì)執(zhí)行嵌入的代碼。該攻擊危害較大，可以盜取用戶賬號(hào)信息、操作用戶數(shù)據(jù)、網(wǎng)站掛馬、控制用戶電腦向其它網(wǎng)站進(jìn)行攻擊。

該攻擊發(fā)生的原因也是對(duì)客戶端提交的數(shù)據(jù)沒(méi)有進(jìn)行安全過(guò)濾，開(kāi)發(fā)人員只需要完善數(shù)據(jù)的檢查即可，也可以采用跨站腳本攻擊檢測(cè)工具比如XSSDetect進(jìn)行檢測(cè)。

2.3.3密碼存儲(chǔ)

涉及到用戶登錄的網(wǎng)站，在存儲(chǔ)用戶登錄密碼時(shí)，有的數(shù)據(jù)庫(kù)設(shè)計(jì)不夠嚴(yán)謹(jǐn)，以明文方式存儲(chǔ)密碼，比如登錄密碼為“ABC123”，該密碼在數(shù)據(jù)庫(kù)中直接存儲(chǔ)為“ABC123”，一旦發(fā)生數(shù)據(jù)庫(kù)丟失，用戶密碼直接暴露，如果該用戶在其他系統(tǒng)網(wǎng)站中使用同樣的密碼，對(duì)該用戶造成的損失是不可估量的。

為了避免發(fā)生以上問(wèn)題，網(wǎng)站的開(kāi)發(fā)存儲(chǔ)用戶密碼時(shí)，必須采取加密算法，密碼經(jīng)過(guò)加密后，再存儲(chǔ)到數(shù)據(jù)庫(kù)中，用戶的登錄驗(yàn)證部分，也要采取相應(yīng)的計(jì)算算法進(jìn)行比對(duì)。

2.3.4文件上傳

網(wǎng)站如果提供文件上傳的功能，比如云盤，用戶將病毒、木馬文件上傳到服務(wù)器，將威脅服務(wù)器以及其他用戶的安全。在選用一些文件上傳的插件時(shí)，也要謹(jǐn)慎，文件上傳插件如果存在漏洞，也會(huì)對(duì)整個(gè)網(wǎng)站系統(tǒng)造成影響，F(xiàn)ckeditor這款編輯器，之前的一個(gè)版本就被曝存在目錄遍歷的漏洞。

網(wǎng)站要對(duì)用戶上傳的文件類型、格式、大小等進(jìn)行檢查，比如用戶注冊(cè)上傳頭像，圖片的大小、像素、后綴等都要作為重點(diǎn)內(nèi)容進(jìn)行過(guò)濾檢測(cè)。

3結(jié)束語(yǔ)

總之，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及信息化技術(shù)的推進(jìn)，網(wǎng)站面臨的安全威脅會(huì)越來(lái)越多，這給網(wǎng)站開(kāi)發(fā)以及維護(hù)人員帶來(lái)極大的挑戰(zhàn)。網(wǎng)站的安全是一個(gè)綜合性、系統(tǒng)性的問(wèn)題，涉及內(nèi)容多，開(kāi)發(fā)人員技術(shù)提升的同時(shí)，不法分子入侵的手段也會(huì)不斷提高，因此，網(wǎng)站的安全防范是個(gè)永久性的課題。

參考文獻(xiàn)：

[1] 文志華，周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（12）.

[2] 李皓.讓黑客無(wú)隙可乘——企業(yè)級(jí)Web網(wǎng)站安全解決方案揭秘[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2017（8）.

[3] 馬超祥. 基于對(duì)多方位WEB網(wǎng)站安全防御系統(tǒng)的研究[J].電腦迷，2017（6）.

[4] 李超，劉瀚，盧燦舉.試分析網(wǎng)站安全管理的技術(shù)性內(nèi)容[J].無(wú)線互聯(lián)科技，2014（11）.