基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)與研究

沈子雷

摘? ?要：隨著Web應(yīng)用系統(tǒng)的不斷普及，越來(lái)越多的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)，給人們的工作和生活都造成了極大的威脅。Web安全漏洞可以分成基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞和基于Web平臺(tái)的網(wǎng)絡(luò)安全漏洞兩種。文章通過(guò)闡述這兩種網(wǎng)絡(luò)安全漏洞的現(xiàn)狀及安全誤區(qū)，總結(jié)幾種常見(jiàn)的安全漏洞攻擊方法，并提出有效措施以防范黑客攻擊漏洞，維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

關(guān)鍵詞：Web應(yīng)用;網(wǎng)絡(luò)安全漏洞;發(fā)現(xiàn)與研究

現(xiàn)階段，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展飛速，各大企業(yè)都開(kāi)始利用Web系統(tǒng)工作，為企業(yè)提供了有效的信息管理支持。Web系統(tǒng)的廣泛應(yīng)用引起了很多黑客的注意，黑客利用網(wǎng)站系統(tǒng)的漏洞篡改網(wǎng)頁(yè)內(nèi)容，常見(jiàn)的方式有跨站腳本攻擊、偽造跨站請(qǐng)求、結(jié)構(gòu)化查詢(xún)語(yǔ)言（Structured Query Language，SQL）注入攻擊等，基于Web應(yīng)用的網(wǎng)絡(luò)安全面臨著嚴(yán)重的威脅。本文將對(duì)Web的現(xiàn)狀進(jìn)行分析，并對(duì)各種安全漏洞進(jìn)行研究，最后提出相應(yīng)的防范網(wǎng)絡(luò)安全漏洞的措施，有效防范黑客的漏洞攻擊行為，讓基于Web應(yīng)用的網(wǎng)絡(luò)系統(tǒng)更加安全[1]。

1? ? 基于Web應(yīng)用的網(wǎng)絡(luò)安全概述

1.1? 基于Web應(yīng)用的網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在不斷改進(jìn)，Web應(yīng)用也在不斷地更新?lián)Q代，各種安全漏洞層出不窮。根據(jù)中國(guó)國(guó)家信息安全漏洞庫(kù)（China National Vulnerability Database of Information Security，CNNVD）收集的各種漏洞調(diào)查，漏洞的數(shù)量隨著實(shí)踐的推移不斷地增長(zhǎng)，其中跨站腳本攻擊、SQL注入攻擊兩種漏洞較為廣泛，而且對(duì)網(wǎng)絡(luò)安全的影響非常大，占據(jù)了網(wǎng)絡(luò)漏洞中的主力，可以說(shuō)是Web發(fā)展史上的里程碑。黑客通過(guò)網(wǎng)絡(luò)站點(diǎn)操作系統(tǒng)的漏洞，將SQL注入系統(tǒng)中，獲得服務(wù)器的控制權(quán)限，然后就可以更改網(wǎng)站中網(wǎng)頁(yè)的內(nèi)容，更嚴(yán)重的情況是在其中注入惡意代碼，讓訪問(wèn)網(wǎng)頁(yè)的用戶(hù)受到侵害。所以網(wǎng)絡(luò)用戶(hù)非常重視網(wǎng)頁(yè)安全問(wèn)題，對(duì)整個(gè)Web系統(tǒng)的安全也更加關(guān)注。基于Web的網(wǎng)絡(luò)安全問(wèn)題逐漸由服務(wù)器的腳本安全升級(jí)為整個(gè)瀏覽器的安全，加強(qiáng)對(duì)瀏覽器安全漏洞的防范是目前互聯(lián)網(wǎng)行業(yè)的重點(diǎn)工作內(nèi)容[2]。

1.2? 基于Web應(yīng)用的安全認(rèn)識(shí)誤區(qū)

很多用戶(hù)認(rèn)為安裝防火墻就可以將所有的網(wǎng)絡(luò)安全漏洞排除，這種想法是不正確的。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷改進(jìn)，防火墻已經(jīng)不能滿(mǎn)足用戶(hù)安全上網(wǎng)的需求，不管是應(yīng)用級(jí)的防火墻還是端口級(jí)的防火墻，都是對(duì)網(wǎng)絡(luò)層面上的安全防護(hù)，并不能有效保證基于Web應(yīng)用的網(wǎng)絡(luò)安全問(wèn)題。防火墻利用設(shè)置的端口對(duì)訪問(wèn)進(jìn)行篩選，但是對(duì)訪問(wèn)者身份的鑒別有很大的設(shè)計(jì)漏洞，導(dǎo)致其不能保證Web應(yīng)用的網(wǎng)絡(luò)安全。還有很多用戶(hù)認(rèn)為入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）可以讓W(xué)eb應(yīng)用網(wǎng)絡(luò)的安全問(wèn)題得到解決，這種想法也是錯(cuò)誤的。IDS通過(guò)識(shí)別模式進(jìn)行網(wǎng)絡(luò)層面的保護(hù)，應(yīng)用原理與防火墻相似，都不能有效防止程序漏洞和用戶(hù)允許的鏈接中的漏洞，這種漏洞識(shí)別軟件都存在一定的弊端，為了滿(mǎn)足用戶(hù)的使用需要不能隨意擴(kuò)大識(shí)別范圍。程序漏洞是基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞中最常見(jiàn)的，通過(guò)掃描計(jì)算機(jī)的系統(tǒng)來(lái)尋找漏洞這一想法是正確的。但是，在掃描以后沒(méi)有發(fā)現(xiàn)安全漏洞，用戶(hù)就認(rèn)為可以安全上網(wǎng)，這種想法是非常危險(xiǎn)的，實(shí)際上計(jì)算機(jī)的系統(tǒng)漏洞掃描存在一定的弊端，系統(tǒng)掃描工具只能將非常明顯的漏洞掃描出來(lái)，對(duì)于自身存在的漏洞或是一些微小的漏洞都是掃描不出來(lái)的，所以漏洞掃描能力受到多種因素的影響而相對(duì)較弱[3-4]。

2? ? 常見(jiàn)的基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞形式

2.1? 跨站腳本攻擊

跨站腳本攻擊就是黑客將超文本標(biāo)記語(yǔ)言代碼在不知不覺(jué)中加入到Web網(wǎng)頁(yè)中，用戶(hù)每次瀏覽網(wǎng)頁(yè)的時(shí)候，就會(huì)觸發(fā)超級(jí)文本標(biāo)記語(yǔ)言（Hyper Text Markup Language，HTML）代碼，進(jìn)而進(jìn)行網(wǎng)絡(luò)攻擊?？缯灸_本攻擊通常被用于盜取機(jī)密或用戶(hù)個(gè)人信息，在博客、郵箱、論壇上應(yīng)用較多。在如今計(jì)算機(jī)軟件的開(kāi)發(fā)中，很多設(shè)計(jì)人員為了讓用戶(hù)得到更好的體驗(yàn)，在網(wǎng)頁(yè)中經(jīng)常會(huì)設(shè)置動(dòng)態(tài)內(nèi)容，其大多數(shù)是通過(guò)客戶(hù)端的腳本進(jìn)行設(shè)計(jì)的，黑客往往抓住一個(gè)設(shè)計(jì)要點(diǎn)，對(duì)其腳本實(shí)施攻擊，就會(huì)形成安全漏洞[5]。

2.2? 偽造跨站請(qǐng)求

偽造跨站請(qǐng)求的攻擊方式與跨腳本攻擊不同，是偽造用戶(hù)盜取網(wǎng)站信息。很多網(wǎng)站在使用的過(guò)程中，為了增加用戶(hù)的瀏覽量，設(shè)計(jì)的訪問(wèn)請(qǐng)求比較簡(jiǎn)單，而攻擊者會(huì)利用用戶(hù)的請(qǐng)求授權(quán)，在網(wǎng)頁(yè)中添加非法鏈接或腳本，進(jìn)而獲得網(wǎng)頁(yè)管理的權(quán)限，盜取網(wǎng)頁(yè)中的用戶(hù)信息并對(duì)網(wǎng)站造成損害，網(wǎng)頁(yè)式的攻擊方式嚴(yán)重泄露用戶(hù)的信息，破壞力極強(qiáng)。很多入侵者就是通過(guò)瀏覽器中的銀行網(wǎng)頁(yè)偽造跨站請(qǐng)求，然后騙取管理員的權(quán)限，盜取用戶(hù)的各項(xiàng)信息，對(duì)用戶(hù)的財(cái)產(chǎn)造成非常嚴(yán)重的損失。

2.3? SQL注入攻擊

SQL注入攻擊是一種針對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的新型計(jì)算機(jī)網(wǎng)絡(luò)攻擊方式。程序員有很多個(gè)人習(xí)慣和編程技巧，在編程的過(guò)程中難免會(huì)有漏洞。網(wǎng)絡(luò)攻擊者正是根據(jù)編程者的漏洞，注入SQL，盜取數(shù)據(jù)庫(kù)中的用戶(hù)信息。

2.4? Cookie欺騙漏洞

儲(chǔ)存在用戶(hù)本地終端上的數(shù)據(jù)（Cookie）技術(shù)能給用戶(hù)提供更加便利的瀏覽方式，避免用戶(hù)多次在同一個(gè)瀏覽器中輸入密碼。按規(guī)定，只有同一個(gè)域名的Cookie才能被讀寫(xiě)。攻擊者利用服務(wù)器給用戶(hù)提供Cookie的空檔對(duì)其進(jìn)行更改，使服務(wù)系統(tǒng)不易察覺(jué)，進(jìn)而對(duì)Web應(yīng)用系統(tǒng)進(jìn)行入侵并獲得控制權(quán)限，盜取用戶(hù)的各種信息數(shù)據(jù)。Cookie欺騙漏洞包含很多不同方式的入侵，有的直接跳過(guò)瀏覽器對(duì)系統(tǒng)的信息數(shù)據(jù)進(jìn)行改寫(xiě)，有的修改瀏覽器，使瀏覽器能夠在本地讀取任意域名Cookie，還有的欺騙瀏覽器，讓瀏覽器獲取假域名等，通過(guò)各種方式進(jìn)行Cookie欺騙，以致用戶(hù)的個(gè)人信息和相關(guān)數(shù)據(jù)遭到泄露。

2.5? 緩沖區(qū)溢出漏洞

緩沖區(qū)溢出漏洞是指用戶(hù)在進(jìn)行Web系統(tǒng)的應(yīng)用中，發(fā)出一個(gè)非常復(fù)雜的請(qǐng)求，但是系統(tǒng)卻無(wú)法對(duì)這個(gè)請(qǐng)求做出有效處理時(shí)出現(xiàn)的漏洞。在用戶(hù)發(fā)出超長(zhǎng)請(qǐng)求后，系統(tǒng)會(huì)自動(dòng)進(jìn)行數(shù)據(jù)的檢測(cè)，然后拒絕超長(zhǎng)請(qǐng)求。在這個(gè)過(guò)程中，很多程序設(shè)計(jì)的數(shù)據(jù)長(zhǎng)度都是與存儲(chǔ)空間相匹配的，因而會(huì)造成很長(zhǎng)的緩沖期，在緩沖期很容易出現(xiàn)安全漏洞。攻擊者會(huì)在Web操作系統(tǒng)各個(gè)指令進(jìn)入堆棧的時(shí)候?qū)嵤┓欠ㄊ跈?quán)的指令，進(jìn)而獲得整個(gè)系統(tǒng)的控制權(quán)限，執(zhí)行非法操作。緩沖區(qū)溢出漏洞的現(xiàn)象非常普遍，很多計(jì)算機(jī)系統(tǒng)都會(huì)遇到這種漏洞。所以，平時(shí)加強(qiáng)對(duì)系統(tǒng)的管理和更新，避免緩沖期的出現(xiàn)是非常重要的。

3? ? 基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞有效防范措施

出現(xiàn)基于Web應(yīng)用的網(wǎng)絡(luò)安全漏洞的原因在于很多黑客利用應(yīng)用程序中的問(wèn)題點(diǎn)進(jìn)行攻擊，通過(guò)跨站腳本、偽造請(qǐng)求等形式盜取系統(tǒng)中的用戶(hù)信息，或獲得更多的系統(tǒng)權(quán)限來(lái)謀取個(gè)人利益。漏洞對(duì)人們的工作和生活有一定的危害，而且不容易被發(fā)現(xiàn)，所以在使用Web系統(tǒng)的時(shí)候應(yīng)該注重對(duì)系統(tǒng)漏洞的防范，讓不法分子沒(méi)有可乘之機(jī)。

3.1? 在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞前的有效防范

為了有效避免Web網(wǎng)絡(luò)系統(tǒng)中的漏洞，要定期檢測(cè)系統(tǒng)，并不斷升級(jí)檢測(cè)的程序和功能，優(yōu)化檢測(cè)工具，盡量使用并行式的漏洞檢測(cè)方法進(jìn)行漏洞檢測(cè)。對(duì)于線上的Web系統(tǒng)也要不斷優(yōu)化，讓開(kāi)發(fā)者在系統(tǒng)上線前進(jìn)行各方面的詳細(xì)檢測(cè)，減少漏洞出現(xiàn)的概率。比如，在SQL注入漏洞的防范中，開(kāi)發(fā)人員應(yīng)該在輸入、查詢(xún)以及權(quán)限訪問(wèn)方面進(jìn)行有效的控制。大部分SQL注入漏洞都是由單引號(hào)造成的，攻擊者通常在原有的數(shù)據(jù)中插入單引號(hào)進(jìn)行匹配，然后更改單引號(hào)后面的輸入，所以開(kāi)發(fā)者應(yīng)該注重單引號(hào)的設(shè)計(jì)，盡量在用戶(hù)的數(shù)據(jù)輸入之前進(jìn)行單引號(hào)的匹配，然后對(duì)輸入的數(shù)據(jù)進(jìn)行篩選處理，過(guò)濾一些特殊的字符，控制好數(shù)據(jù)的長(zhǎng)度，將不同的輸入轉(zhuǎn)變成不同的種類(lèi)。然后利用參數(shù)進(jìn)行數(shù)據(jù)查詢(xún)，查詢(xún)的前提是系統(tǒng)具有固定的查詢(xún)結(jié)構(gòu)，利用參數(shù)進(jìn)行預(yù)先占位符，用用戶(hù)輸入的數(shù)據(jù)填滿(mǎn)占位符，有效確定查詢(xún)結(jié)構(gòu)的形式，這樣即使攻擊者對(duì)數(shù)據(jù)進(jìn)行破壞，也不能影響查詢(xún)結(jié)構(gòu)。根據(jù)用戶(hù)的需求合理設(shè)計(jì)訪問(wèn)權(quán)限，對(duì)用戶(hù)的信息保密，管理好整個(gè)系統(tǒng)的數(shù)據(jù)信息。

3.2? 在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞時(shí)的防范

當(dāng)Web系統(tǒng)出現(xiàn)漏洞時(shí)，應(yīng)該立即啟動(dòng)事先準(zhǔn)備好的漏洞防護(hù)設(shè)備進(jìn)行有效防范，緊急修復(fù)Web系統(tǒng)，避免造成系統(tǒng)的重大損失。在制定應(yīng)急處理方案時(shí)，應(yīng)該注重考慮一些設(shè)計(jì)的細(xì)節(jié)問(wèn)題，對(duì)漏洞問(wèn)題進(jìn)行預(yù)判，采用最有效的方式進(jìn)行檢測(cè)和修復(fù)，將系統(tǒng)的損失降到最低。注重增加數(shù)據(jù)的保護(hù)措施，應(yīng)該采用多層加密的方式保護(hù)用戶(hù)信息，建立自動(dòng)鎖定裝置，在Web系統(tǒng)中出現(xiàn)安全漏洞時(shí)，及時(shí)鎖定重要數(shù)據(jù)，避免攻擊者盜取重要信息和篡改資料。

3.3? 在網(wǎng)絡(luò)系統(tǒng)漏洞攻擊后的反思

對(duì)于Web系統(tǒng)的漏洞問(wèn)題，應(yīng)該及時(shí)反思，建立信息備份，避免重要數(shù)據(jù)的丟失，完善數(shù)據(jù)信息管理的機(jī)制，更新現(xiàn)有的信息處理系統(tǒng)。

4? ? 結(jié)語(yǔ)

分析基于Web應(yīng)用的網(wǎng)絡(luò)安全現(xiàn)狀，闡述常見(jiàn)的幾種網(wǎng)絡(luò)安全漏洞，并提出有效防范網(wǎng)絡(luò)安全漏洞的措施。只有不斷升級(jí)對(duì)Web系統(tǒng)的漏洞檢測(cè)，并對(duì)基于Web的網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期優(yōu)化，在遭到系統(tǒng)入侵時(shí)及時(shí)修復(fù)，加強(qiáng)對(duì)用戶(hù)數(shù)據(jù)的保護(hù)，對(duì)網(wǎng)絡(luò)系統(tǒng)各項(xiàng)信息進(jìn)行有效的備份處理，才能讓基于Web應(yīng)用的網(wǎng)絡(luò)安全問(wèn)題得到妥善處理。希望本研究對(duì)相關(guān)的網(wǎng)絡(luò)系統(tǒng)安全維護(hù)人員有所裨益，使其加強(qiáng)網(wǎng)絡(luò)的安全檢查，及時(shí)修復(fù)網(wǎng)頁(yè)漏洞，努力創(chuàng)建健康安全的上網(wǎng)環(huán)境。

[參考文獻(xiàn)]

[1]張浩，項(xiàng)朝君，陳海濤，等.計(jì)算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用[J].電子元器件與信息技術(shù)，2019（9）：35-37.

[2]糜小夫，馮碧楠.計(jì)算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用分析[J].信息通信，2019（2）：207-208.

[3]沈文婷，丁宜鵬，郭衛(wèi)，等.計(jì)算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的應(yīng)用研究[J].科技與創(chuàng)新，2018（1）：154-155.

[4]王丹，趙文兵，丁治明.Web應(yīng)用常見(jiàn)注入式安全漏洞檢測(cè)關(guān)鍵技術(shù)綜述[J].北京工業(yè)大學(xué)學(xué)報(bào)，2016（12）：62-72.

[5]文碩，許靜，苑立英，等.基于策略推導(dǎo)的訪問(wèn)控制漏洞測(cè)試用例生成方法[J].計(jì)算機(jī)學(xué)報(bào)，2017（12）：2658-2670.

Discovery and research of network security vulnerability based on Web application

Shen Zilei

（Xinyang Agriculture and Forestry University， Xinyang 464000， China）

Abstract：With the increasing popularity of web application systems， more and more network security vulnerabilities have been discovered， which pose a great threat to peoples work and life. Web security vulnerabilities can be divided into two types： web application-based network security vulnerabilities and web platform-based network security vulnerabilities. This paper expounds the current situation of these two kinds of network security vulnerabilities and security misunderstandings， summarizes the common methods of attacking security vulnerabilities， and puts forward effective measures to prevent hackers from attacking vulnerabilities and maintain the security of network systems.

Key words：Web application; network security vulnerability; discovery and research