吳振鵬
摘要:當(dāng)前,網(wǎng)站已經(jīng)成為黨政、醫(yī)療、教育、電子商務(wù)等行業(yè)共享信息、提供服務(wù)的重要載體,隨著互聯(lián)網(wǎng)技術(shù)的推進(jìn),網(wǎng)站安全問(wèn)題越來(lái)越凸顯,成為威脅網(wǎng)站的重要隱患。文章總結(jié)了當(dāng)前網(wǎng)站建設(shè)、運(yùn)行的概況,對(duì)網(wǎng)站常見(jiàn)的安全問(wèn)題進(jìn)行分析研究,并針對(duì)性地提出安全防護(hù)策略,為網(wǎng)站穩(wěn)定、可靠地運(yùn)行提供借鑒。
關(guān)鍵詞:網(wǎng)站;安全;研究
隨著Internet的普及與發(fā)展,人們對(duì)網(wǎng)絡(luò)的依賴度越來(lái)越高,網(wǎng)站的應(yīng)用已經(jīng)深入到生活中的方方面面,給人們帶來(lái)了極大的便利。但是近幾年以來(lái),網(wǎng)站攻擊事件層出不窮,網(wǎng)站正面臨著極大的安全威脅。前段時(shí)間,某平臺(tái)網(wǎng)站存在安全漏洞,遭受不明攻擊,幾百萬(wàn)賬戶信息被泄露,導(dǎo)致其他平臺(tái)如12306購(gòu)票網(wǎng)站大量用戶密碼遭“撞庫(kù)”破解,購(gòu)票訂單被惡意取消。因此,在網(wǎng)站的建設(shè)以及維護(hù)過(guò)程中,必須要掌握并采取完善的安全策略,提高網(wǎng)站的抗攻擊能力,從而保證網(wǎng)站的安全運(yùn)行。
1網(wǎng)站建設(shè)、運(yùn)行概況
計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使得Internet急劇擴(kuò)大,并且Web網(wǎng)站迅速增加。運(yùn)行在互聯(lián)網(wǎng)上的網(wǎng)站形形色色,從種類上來(lái)說(shuō),有門戶網(wǎng)站、行業(yè)網(wǎng)站、娛樂(lè)網(wǎng)站、電商網(wǎng)站等。網(wǎng)站的來(lái)源一般是兩種,一種是沒(méi)有專門的技術(shù)人員,請(qǐng)專業(yè)的開(kāi)發(fā)公司來(lái)制作;另一種是有專業(yè)的開(kāi)發(fā)團(tuán)隊(duì),負(fù)責(zé)網(wǎng)站的開(kāi)發(fā)與維護(hù)。網(wǎng)站所采用的開(kāi)發(fā)語(yǔ)言有PHP、JSP、ASP、ASP.NET等,常見(jiàn)的數(shù)據(jù)庫(kù)有Mysql、SQLServer、Oracle、Access等,部署的服務(wù)器有Windows和Linux。網(wǎng)站的性能方面,有的網(wǎng)站側(cè)重于提供高帶寬流量服務(wù),比如視頻網(wǎng)站,有的側(cè)重于提供高并發(fā)服務(wù),比如搶票、購(gòu)物網(wǎng)站。從網(wǎng)站后續(xù)維護(hù)來(lái)看,多數(shù)網(wǎng)站開(kāi)發(fā)完畢后,基本沒(méi)有技術(shù)上的保障,只是內(nèi)容上的更新,網(wǎng)站如果被攻擊,沒(méi)有處理的能力。總體來(lái)說(shuō),大部分網(wǎng)站總會(huì)存在一些安全問(wèn)題,網(wǎng)站在互聯(lián)網(wǎng)上正常運(yùn)行,并不能說(shuō)明網(wǎng)站就沒(méi)有安全問(wèn)題,而是網(wǎng)站沒(méi)有可供不法份子覬覦的內(nèi)容。黨政機(jī)關(guān)門戶網(wǎng)站、電商網(wǎng)站等,往往是攻擊份子為達(dá)到不良目的活躍的重點(diǎn)區(qū)域。
2網(wǎng)站常見(jiàn)的安全問(wèn)題以及解決策略
當(dāng)前計(jì)算機(jī)犯罪手段比比皆是,而且網(wǎng)絡(luò)病毒、木馬等犯罪技術(shù)也隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展顯著提高?,F(xiàn)在人們很容易從網(wǎng)上下載到各種攻擊工具,通過(guò)這些工具不需要有專業(yè)的技術(shù)就可以對(duì)網(wǎng)站造成破壞,網(wǎng)站受到的安全威脅越來(lái)越大,所以對(duì)開(kāi)發(fā)維護(hù)人員提出的要求也越來(lái)越高。
2.1網(wǎng)絡(luò)安全問(wèn)題及策略
網(wǎng)站運(yùn)行于網(wǎng)絡(luò)之上,沒(méi)有穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境,網(wǎng)站也就談不上發(fā)揮效能,只能算是單機(jī)版的應(yīng)用。DDoS攻擊是常見(jiàn)的攻擊方式之一,它通過(guò)大量合法的請(qǐng)求來(lái)占用大量網(wǎng)絡(luò)資源,從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。它通過(guò)網(wǎng)絡(luò)超載來(lái)阻撓干擾正常的網(wǎng)絡(luò)通訊,通過(guò)大量請(qǐng)求服務(wù)器,造成服務(wù)器超荷,從而阻斷某服務(wù)與用戶的正常通訊,干擾用戶正常的服務(wù)器訪問(wèn)。因?yàn)榫W(wǎng)站的實(shí)現(xiàn)是基于TCP/IP網(wǎng)絡(luò)協(xié)議,DDos攻擊就是針對(duì)這一協(xié)議的缺陷展開(kāi)的攻擊,攻擊者通過(guò)偽造TCP連接請(qǐng)求,使網(wǎng)站服務(wù)器消耗大量的資源來(lái)維護(hù)龐大的連接列表,從而難以響應(yīng)正??蛻舻恼?qǐng)求,最終導(dǎo)致服務(wù)器的崩潰。此外,ARP欺騙攻擊也是常用的網(wǎng)絡(luò)攻擊方式,在被控制的主機(jī)內(nèi)植入ARP攻擊軟件,通過(guò)欺騙攻擊,截獲網(wǎng)段內(nèi)部主機(jī)的敏感數(shù)據(jù),獲取有價(jià)值的數(shù)據(jù)包,造成被訪問(wèn)網(wǎng)站用戶信息的泄露。
針對(duì)以上攻擊,網(wǎng)站可以設(shè)立過(guò)濾器或者偵測(cè)器來(lái)檢測(cè)可疑的訪問(wèn)行動(dòng),在攻擊信息抵達(dá)網(wǎng)站服務(wù)器之前進(jìn)行阻擋,保持服務(wù)器正常對(duì)外連接。還可以增加必要的網(wǎng)絡(luò)安全設(shè)備作為訪問(wèn)控制設(shè)備,比如防火墻,通過(guò)啟用防火墻的防DDoS的屬性或者設(shè)置訪問(wèn)策略,避免服務(wù)攻擊。另外,可以通過(guò)設(shè)置路由器SYN數(shù)據(jù)包流量速率來(lái)降低DDos攻擊風(fēng)險(xiǎn)。個(gè)人電腦也要進(jìn)行相關(guān)的安全設(shè)置,開(kāi)啟防火墻,及時(shí)修復(fù)漏洞,網(wǎng)絡(luò)維護(hù)人員要加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控,有不穩(wěn)定的突發(fā)大數(shù)據(jù)流量要及時(shí)查看原因,進(jìn)行處置??傊?,無(wú)論是服務(wù)器端還是個(gè)人端所處的網(wǎng)絡(luò)環(huán)境,其穩(wěn)定性、安全性決定著網(wǎng)站運(yùn)行的可靠性以及用戶數(shù)據(jù)的保密性,網(wǎng)絡(luò)維護(hù)人員以及用戶,都要提高網(wǎng)絡(luò)安全防護(hù)意識(shí),為網(wǎng)站的正常運(yùn)行,用戶的正常訪問(wèn),提供良好的溫床。
2.2系統(tǒng)環(huán)境安全問(wèn)題及策略
Windows和Linux系統(tǒng)是網(wǎng)站部署常見(jiàn)的系統(tǒng),Windows以Server版本為主,Linux以Ubuntu和CentOS為主,每個(gè)系統(tǒng)版本都有各自的特性,開(kāi)發(fā)人員可以根據(jù)網(wǎng)站的特點(diǎn)選擇合適的系統(tǒng)進(jìn)行部署。Windows系統(tǒng)簡(jiǎn)明的操作界面極大方便普通用戶的使用,但與此同時(shí),針對(duì)Windows系統(tǒng)的惡意攻擊也多,各種漏洞備受詬病,2017年席卷全球的“勒索病毒”,就是利用了Windows的漏洞,造成大量用戶遭受損失。Linux系統(tǒng)相比較Windows系統(tǒng),安全性和穩(wěn)定性有很大的提高,但是文件目錄的權(quán)限設(shè)置過(guò)高容易造成普通用戶文件訪問(wèn)越權(quán),管理員權(quán)限分配不準(zhǔn)確也容易為攻擊人員留下入口。
如果網(wǎng)站部署于Windows系統(tǒng),要及時(shí)更新安裝最新的補(bǔ)丁,修復(fù)漏洞,防火墻要打開(kāi),設(shè)置完善的安全策略。網(wǎng)站部署到Linux系統(tǒng),網(wǎng)站目錄權(quán)限要根據(jù)實(shí)際需求準(zhǔn)確設(shè)置訪問(wèn)權(quán)限,權(quán)限不能過(guò)高也不能過(guò)低。Linux系統(tǒng)要關(guān)閉Telnet服務(wù),關(guān)閉root用戶的遠(yuǎn)程登錄,關(guān)閉SSH登錄端口,只為管理員IP設(shè)置登錄端口的訪問(wèn)權(quán)限。兩種系統(tǒng)的管理員用戶密碼復(fù)雜度要提高,一般是大小寫字母加特殊字符。端口訪問(wèn)權(quán)限,只開(kāi)放有用的端口即可,比如80端口,其他無(wú)用端口都要關(guān)閉,不給不法分子留下可乘之機(jī)。
2.3網(wǎng)站系統(tǒng)安全問(wèn)題及策略
無(wú)論是網(wǎng)絡(luò)還是系統(tǒng)環(huán)境,只能算是外部的環(huán)境,外部環(huán)境安全系數(shù)再高,網(wǎng)站本身如果存在安全漏洞,也是極大的安全威脅。
2.3.1數(shù)據(jù)庫(kù)攻擊
SQL注入是數(shù)據(jù)庫(kù)攻擊常見(jiàn)的手段,所謂SQL注入,指的是通過(guò)把SQL命令插入到Web表單中提交或者頁(yè)面請(qǐng)求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意SQL命令。SQL注入是通過(guò)構(gòu)建特殊的字符串作為參數(shù)傳遞到服務(wù)器,這些字符串是SQL語(yǔ)句的組合,如果網(wǎng)站程序沒(méi)有對(duì)用戶輸入的參數(shù)進(jìn)行過(guò)濾檢查,SQL注入的實(shí)施就非常簡(jiǎn)單了。數(shù)據(jù)庫(kù)的攻擊應(yīng)該是所有威脅網(wǎng)站安全最嚴(yán)重的問(wèn)題之一,數(shù)據(jù)庫(kù)存儲(chǔ)了網(wǎng)站所有的信息,一旦發(fā)生數(shù)據(jù)庫(kù)攻擊,會(huì)造成數(shù)據(jù)泄露,嚴(yán)重的會(huì)造成數(shù)據(jù)庫(kù)丟失,后果無(wú)法想象。
其實(shí),解決SQL注入的方式也比較簡(jiǎn)單,即永遠(yuǎn)不要相信前臺(tái)用戶的輸入內(nèi)容,對(duì)所有的信息都要進(jìn)行校驗(yàn),對(duì)所有需要傳遞到服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行查詢、操作的參數(shù)進(jìn)行過(guò)濾檢查即可。除了開(kāi)發(fā)過(guò)程中注意加強(qiáng)數(shù)據(jù)的檢查,還可以使用一些檢測(cè)工具,比如SQLMap,對(duì)網(wǎng)址進(jìn)行檢查,找出存在SQL注入的頁(yè)面進(jìn)行修復(fù)。
2.3.2跨站腳本攻擊
跨站腳本攻擊指攻擊者利用網(wǎng)站沒(méi)有對(duì)用戶提交的數(shù)據(jù)進(jìn)行安全過(guò)濾,進(jìn)而添加代碼,嵌入網(wǎng)站頁(yè)面,其他用戶在訪問(wèn)該頁(yè)面時(shí),都會(huì)執(zhí)行嵌入的代碼。該攻擊危害較大,可以盜取用戶賬號(hào)信息、操作用戶數(shù)據(jù)、網(wǎng)站掛馬、控制用戶電腦向其它網(wǎng)站進(jìn)行攻擊。
該攻擊發(fā)生的原因也是對(duì)客戶端提交的數(shù)據(jù)沒(méi)有進(jìn)行安全過(guò)濾,開(kāi)發(fā)人員只需要完善數(shù)據(jù)的檢查即可,也可以采用跨站腳本攻擊檢測(cè)工具比如XSSDetect進(jìn)行檢測(cè)。
2.3.3密碼存儲(chǔ)
涉及到用戶登錄的網(wǎng)站,在存儲(chǔ)用戶登錄密碼時(shí),有的數(shù)據(jù)庫(kù)設(shè)計(jì)不夠嚴(yán)謹(jǐn),以明文方式存儲(chǔ)密碼,比如登錄密碼為“ABC123”,該密碼在數(shù)據(jù)庫(kù)中直接存儲(chǔ)為“ABC123”,一旦發(fā)生數(shù)據(jù)庫(kù)丟失,用戶密碼直接暴露,如果該用戶在其他系統(tǒng)網(wǎng)站中使用同樣的密碼,對(duì)該用戶造成的損失是不可估量的。
為了避免發(fā)生以上問(wèn)題,網(wǎng)站的開(kāi)發(fā)存儲(chǔ)用戶密碼時(shí),必須采取加密算法,密碼經(jīng)過(guò)加密后,再存儲(chǔ)到數(shù)據(jù)庫(kù)中,用戶的登錄驗(yàn)證部分,也要采取相應(yīng)的計(jì)算算法進(jìn)行比對(duì)。
2.3.4文件上傳
網(wǎng)站如果提供文件上傳的功能,比如云盤,用戶將病毒、木馬文件上傳到服務(wù)器,將威脅服務(wù)器以及其他用戶的安全。在選用一些文件上傳的插件時(shí),也要謹(jǐn)慎,文件上傳插件如果存在漏洞,也會(huì)對(duì)整個(gè)網(wǎng)站系統(tǒng)造成影響,F(xiàn)ckeditor這款編輯器,之前的一個(gè)版本就被曝存在目錄遍歷的漏洞。
網(wǎng)站要對(duì)用戶上傳的文件類型、格式、大小等進(jìn)行檢查,比如用戶注冊(cè)上傳頭像,圖片的大小、像素、后綴等都要作為重點(diǎn)內(nèi)容進(jìn)行過(guò)濾檢測(cè)。
3結(jié)束語(yǔ)
總之,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及信息化技術(shù)的推進(jìn),網(wǎng)站面臨的安全威脅會(huì)越來(lái)越多,這給網(wǎng)站開(kāi)發(fā)以及維護(hù)人員帶來(lái)極大的挑戰(zhàn)。網(wǎng)站的安全是一個(gè)綜合性、系統(tǒng)性的問(wèn)題,涉及內(nèi)容多,開(kāi)發(fā)人員技術(shù)提升的同時(shí),不法分子入侵的手段也會(huì)不斷提高,因此,網(wǎng)站的安全防范是個(gè)永久性的課題。
參考文獻(xiàn):
[1] 文志華,周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(12).
[2] 李皓.讓黑客無(wú)隙可乘——企業(yè)級(jí)Web網(wǎng)站安全解決方案揭秘[J]. 計(jì)算機(jī)與網(wǎng)絡(luò),2017(8).
[3] 馬超祥. 基于對(duì)多方位WEB網(wǎng)站安全防御系統(tǒng)的研究[J].電腦迷,2017(6).
[4] 李超,劉瀚,盧燦舉.試分析網(wǎng)站安全管理的技術(shù)性內(nèi)容[J].無(wú)線互聯(lián)科技,2014(11).