Web系統(tǒng)安全威脅研究

阮云蘭 晏小慶 江西工程學院

網(wǎng)絡安全時代的到來，對于網(wǎng)絡安全架構的基礎往往由網(wǎng)絡防火墻承擔主要的防護措施，抑或是Admin通常經(jīng)由鎖定主機來處理安全問題，在這個過程之中卻往往容易忽略應用程序開發(fā)設計時所存在的安全漏洞，故而Web應用程序?qū)τ谄浼軜嬙O計師以及開發(fā)人員往往認為其安全需要在事后以及時間允許情況下，對程序性能有所改良之后再去考慮安全性能方面的問題，而Web網(wǎng)絡攻擊通?？梢灾苯悠茐膽贸绦颍灤￤eb網(wǎng)絡防御。

1 Web應用系統(tǒng)所面臨的安全問題

當下，互聯(lián)網(wǎng)已經(jīng)成為各大產(chǎn)業(yè)機構所必需的一個基礎平臺，考慮到Web應用的開放性質(zhì)，各類Web軟硬件的漏洞無可避免，日趨成熟化的網(wǎng)絡駭客技術，黑客多將其注意力通由對網(wǎng)絡服務器的攻擊轉(zhuǎn)變?yōu)閃eb應用的攻擊之上，而如今大部分企業(yè)多將網(wǎng)絡與服務器安全置于首位，反觀Web安全系統(tǒng)方便卻沒有得到足夠的重視，曾在2011年末，我國互聯(lián)網(wǎng)行業(yè)內(nèi)所爆發(fā)出各類CSDN“泄密門”事件，可見Web應用潛在威脅的序幕已經(jīng)打開。

通常在Web應用程序于日常生活之中，多會受到各種形式的攻擊，且多分為以下幾個方面：

1.1 基于操作系統(tǒng)下的安全問題

操作系統(tǒng)以及后臺數(shù)據(jù)方面的配置不合理，存在一定的漏洞，使致駭客、病毒對其存在的漏洞與弱口令進行攻擊，這是基于操作系統(tǒng)之下的安全問題。

1.2 Web所存在的系統(tǒng)漏洞安全

Web服務器所發(fā)布的系統(tǒng)通常會存在一些安全漏洞，如IIS、Apache等，給攻擊者可乘之機。

1.3 Web應用程序上的漏洞

多指的是Web應用程序的編寫人員，對編寫過程之中的安全因素沒有進行全面考慮，造成黑客對于這些漏洞進行攻擊，進行SQL注入以及跨站腳本攻擊等。

1.4 自身所存在的網(wǎng)絡安全情況

Web服務器所處在的網(wǎng)絡安全情況也多影響著網(wǎng)站的安全，比如其中所存在的Dos攻擊，或多或少啊都會影響到網(wǎng)站的正常運營。

2 Web應用的安全風險

攻擊者可以通過應用程序中各種不同的路徑與方法來危害網(wǎng)絡業(yè)務以及企業(yè)組織。其中各種路徑方法都代表了一種風險，有些路徑方法很容易被發(fā)現(xiàn)并利用，有些則很難被發(fā)現(xiàn)。為了確定企業(yè)所面臨的安全風險，可以結合其產(chǎn)生的技術影響和對企業(yè)的業(yè)務影響，進而評估威脅代理、攻擊向量和安全漏洞的可能性。其中多通由威脅代理，對安全漏洞進行攻擊向量，以達到安全控制，從技術影響上達到對功能的控制，進而影響企業(yè)行業(yè)的資產(chǎn)業(yè)務。

其中在2017威脅榜單之中，注入攻擊漏洞居Top10之首，而XSS的威脅程度從A3降低到A7。其中敏感信息的泄露、安全配置上的錯誤以及失效的訪問控制等威脅均有所提升，應受到各大企業(yè)的重視。其中2017web網(wǎng)絡威脅榜單之中出現(xiàn)了一些新的安全威脅，包括 XXE漏洞(A4:2017,XML External Entity attack)、針對Java平臺的不安全反序列化漏洞(A8:2017,Insecure Deserialization)以及記錄和監(jiān)控不足風險(A10:2017,Insufficient Logging & Monitoring)等，這些新興的安全威脅也值得企業(yè)重點關注。

各類互聯(lián)網(wǎng)產(chǎn)業(yè)相繼不斷浮現(xiàn)，網(wǎng)貸、購物以及社交等一系列新型互聯(lián)網(wǎng)產(chǎn)品的誕生，企業(yè)信息化的過程中越來越多的應用都架設于Web平臺上，接踵而至的就是Web安全威脅的凸顯。大量黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

3 Web應用系統(tǒng)安全的防護措施

3.1 提高防范意識

有效設立網(wǎng)絡安全基線，并且制定防篡改措施，檢查各類應用程序是否安全使用解釋器，仔細審查代碼，合理運用代碼分析工具以實現(xiàn)幫助安全分析，追蹤應用的數(shù)據(jù)流。定期開展檢查工作，并不定期對Web進行安全掃描，進行源代碼方面的滲透評估測試，及時進行系統(tǒng)更新，執(zhí)行應用程序動態(tài)掃描器及時提供信息反饋，以確認注入漏洞是否存在。其次，便是安裝防病毒以及通訊監(jiān)視軟件，預防各類病毒的攻擊。

3.2 安裝安全產(chǎn)品

保護Web應用系統(tǒng)安全的軟件各種各樣，結合企業(yè)自身安全防護的需要，可安裝網(wǎng)頁防篡改軟件、Web防火墻軟件、Web木馬檢測工具、以及主機Web網(wǎng)關。以上安全產(chǎn)品的合理運用可有效抵御潛在的外來攻擊。

3.3 做好安全監(jiān)控與恢復

對于各類檢測結果進行一定的反饋與分析，總結并修訂安全計劃、程序以及系統(tǒng)漏洞的修補，進而完善Web編碼，強化清理網(wǎng)頁木馬以及惡意代碼。從而防止入侵。并對防御結果反饋的信息進行解析、分析、記錄以及匯報，做好事先的預防工作，強化內(nèi)外部網(wǎng)絡行為方式的監(jiān)管。

4 結語

綜上所述，Web應用系統(tǒng)的管理者應提高自身安全意識，做好全面的安全防護，立體化防護構架，嘗試先進尖端的技術手段，以保證Web應用系統(tǒng)符合安全性要求，保證其良好穩(wěn)定的運行，安全性問題分布在程序周期的各個階段和角色中,它不是一個目的地,而是一個有始無終的旅程。

[1]劉杰,葛曉玢.關于Web安全漏洞分析及防范策略[J].河北工程技術高等?？茖W校學報,2017(04):32-35

[2]畢立恒,劉云潺.面向web的安全信息搜集平臺設計[J].信息技術與信息化,2017(07):19-22