淺析Web安全漏洞及防范措施

史超博

摘 要：Web給我們帶來便利的同時(shí)，也給我們帶來了極大地安全隱患，最熟為人知的莫過于SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數(shù)據(jù)庫運(yùn)行出錯(cuò)、后臺(tái)弱口令漏洞、文件上傳漏洞等隱患，這些Web應(yīng)用中常見的安全漏洞為我們的學(xué)習(xí)、工作帶來了很大的不便，因此，計(jì)算計(jì)網(wǎng)絡(luò)安全嚴(yán)重影響了企業(yè)的發(fā)展，個(gè)人學(xué)習(xí)、生活的便利，家庭信息隱私等。本文從網(wǎng)絡(luò)安全定義、影響網(wǎng)絡(luò)安全的原因等方面探討了Web安全漏洞以及防范措施。

關(guān)鍵詞：Web;安全漏洞;網(wǎng)絡(luò)安全

在互聯(lián)網(wǎng)大眾化和基于Web的互聯(lián)網(wǎng)應(yīng)用飛速發(fā)展的今天，社會(huì)已逐步步入信息化，社會(huì)上的各行各業(yè)都在利用信息資源、物聯(lián)網(wǎng)飛速發(fā)展，物聯(lián)網(wǎng)技術(shù)、網(wǎng)絡(luò)資源已經(jīng)滲入到生活的方方面面。隨著企業(yè)規(guī)模的不斷擴(kuò)大，相應(yīng)的網(wǎng)絡(luò)應(yīng)用范圍也在不斷擴(kuò)大，做好網(wǎng)絡(luò)運(yùn)行維護(hù)與安全管理工作已經(jīng)占據(jù)到了互聯(lián)網(wǎng)建設(shè)的戰(zhàn)略性地位。近年來網(wǎng)絡(luò)安全事件頻頻發(fā)生，人們對(duì)外部入侵和網(wǎng)絡(luò)安全日益重視，但是網(wǎng)絡(luò)的攻擊、Web安全漏洞也在近幾年來頻繁發(fā)生，網(wǎng)絡(luò)安全漏洞也隨之成為企業(yè)管理的隱患。生產(chǎn)資料被非法泄露，拷貝，篡改，給企業(yè)帶來了極其重大的損失，這種事件頻頻出現(xiàn)。

網(wǎng)絡(luò)安全（Network Security）就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，它是一門涉及面非常廣的綜合性學(xué)科，它涉及計(jì)算機(jī)科學(xué)與技術(shù)，網(wǎng)絡(luò)技術(shù)，信息安全技術(shù)，通信技術(shù)，密碼技術(shù)，信息論，應(yīng)用數(shù)學(xué)，軟件工程，指令保護(hù)，統(tǒng)計(jì)學(xué)等多種學(xué)科。它的主要特性有保密性，完整性，可控性，可用性，可審查性。網(wǎng)絡(luò)安全最突出的重要性在于保護(hù)用戶的隱私，控制對(duì)網(wǎng)絡(luò)資源的訪問，保證企業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄?，完整性，真?shí)性。控制危害社會(huì)穩(wěn)定的言論和不健康的信息傳入社會(huì)，引起社會(huì)不安穩(wěn)。

網(wǎng)絡(luò)安全在信息傳遞方面主要需要防止不健康軟件的攻擊，個(gè)人隱私信息額外泄，防止病毒入侵，有效保護(hù)用戶信息的私密性，有效地屏蔽掉惡意攻擊他人、危害社會(huì)穩(wěn)定的言論。各企業(yè)都有其內(nèi)部的殺毒軟件，這些殺毒軟件都有一個(gè)共同目標(biāo)，就是其可以在各個(gè)網(wǎng)絡(luò)層次都能提供最佳的安全解決方案，保護(hù)用戶信息不外泄，有效保護(hù)用戶在辦公時(shí)不受到外網(wǎng)及內(nèi)網(wǎng)的惡意軟件及病毒攻擊。網(wǎng)絡(luò)防火墻同樣也能夠有效的防止木馬入侵，保護(hù)個(gè)人資料安全性。

最常見的網(wǎng)絡(luò)安全漏洞主要為SQL注入漏洞、目錄遍歷漏洞、敏感信息泄露、未過濾HTML代碼漏洞、數(shù)據(jù)庫運(yùn)行出錯(cuò)、后臺(tái)弱口令漏洞、文件上傳漏洞等隱患。

SQL注入漏洞非常危險(xiǎn)，屬于高危漏洞，它之所以廣泛出現(xiàn)在網(wǎng)絡(luò)中，是因?yàn)榫W(wǎng)站應(yīng)用程序員在編寫程序時(shí)沒有對(duì)用戶提交到服務(wù)器的數(shù)據(jù)進(jìn)行合法效驗(yàn)，不但沒有過濾有效的特殊字符，而且還導(dǎo)致了網(wǎng)址服務(wù)器存在各種風(fēng)險(xiǎn)，這就形成了我們說的SQL注入漏洞。它會(huì)導(dǎo)致系統(tǒng)機(jī)密數(shù)據(jù)被黑客盜取，核心業(yè)務(wù)被有意篡改，網(wǎng)頁被篡改，數(shù)據(jù)庫所在的服務(wù)器被攻擊，進(jìn)而導(dǎo)致整個(gè)內(nèi)網(wǎng)被黑客入侵。因此，需要程序員在編寫網(wǎng)絡(luò)代碼中，應(yīng)該對(duì)用戶輸入的數(shù)據(jù)嚴(yán)格過濾，采用SQL語句預(yù)編譯和綁定變量，且部署Web應(yīng)用防火墻，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫操作指令。

常見的Web安全漏洞還有目錄遍歷漏洞，它屬于中危漏洞，它是一種可以獲取系統(tǒng)文件及服務(wù)器的配置的程序，它是通過服務(wù)器API以及文件標(biāo)準(zhǔn)權(quán)限進(jìn)行攻擊的。目錄遍歷漏洞可以使攻擊者獲取服務(wù)器的文件目錄結(jié)構(gòu)，進(jìn)而獲取敏感文件，導(dǎo)致數(shù)據(jù)泄露。因此，我們需要通過修改配置文件，去除一些中間件的文件目錄索引功能，設(shè)置目錄權(quán)限，為每一個(gè)目錄創(chuàng)建一個(gè)空的索引頁面，從而達(dá)到加固服務(wù)器的目的。

敏感信息泄露也是我們常見的一種安全漏洞，它是由于網(wǎng)站后臺(tái)運(yùn)維人員粗心導(dǎo)致的，一旦存放敏感信息的文件被泄露或者由于網(wǎng)站運(yùn)行出錯(cuò)而導(dǎo)致敏感信息泄露，攻擊者可以直接下載用戶的隱私信息，包括各類用戶名、密碼、以及個(gè)人隱私信息。攻擊者是通過制造一個(gè)個(gè)性化URL地質(zhì)，從而觸發(fā)系統(tǒng)Web應(yīng)用程序報(bào)錯(cuò)，在返回的內(nèi)容中截獲對(duì)其有用的敏感信息。黑客可以利用這些敏感信息獲取網(wǎng)站服務(wù)器路徑，從而可以更猛烈的攻擊，這些行為導(dǎo)致的后果都會(huì)給企業(yè)帶來難以估測(cè)的損失。因此，針對(duì)這些行為，我們可以對(duì)網(wǎng)站錯(cuò)誤信息進(jìn)行統(tǒng)一返回，模糊化處理。對(duì)一些存放敏感信息的文件進(jìn)行加密存儲(chǔ)，防治泄露。

網(wǎng)絡(luò)安全對(duì)于我們的工作，生活都非常重要，和我們的衣食住行息息相關(guān)，但是我們?cè)谑褂镁W(wǎng)絡(luò)時(shí)也同樣面臨著許多隱患，綜合分析影響網(wǎng)絡(luò)安全性的主要因素有以下幾個(gè)方面。

第一，網(wǎng)絡(luò)結(jié)構(gòu)因素，眾所周知，網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有星型，環(huán)型，總線型。每個(gè)企業(yè)都包括若干個(gè)子公司，每個(gè)子公司又有自己不同的企業(yè)部門，每個(gè)部門有自己的局域網(wǎng)，他們所采用的的拓?fù)浣Y(jié)構(gòu)也不可能完全一樣，在建造和維護(hù)內(nèi)網(wǎng)時(shí)，我們應(yīng)該盡可能實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間的信息通信，這就為我們提出了更高的網(wǎng)絡(luò)開放性要求。

第二，網(wǎng)絡(luò)地域因素。各企業(yè)的內(nèi)部網(wǎng)有可能是局域網(wǎng)，也有可能是廣域網(wǎng)，可以跨城際，也可以跨國際，這其中所涉及的地域位置比較復(fù)雜，所以它們之間的通信質(zhì)量也就難以確認(rèn)完好，在信息的傳送過程中必定會(huì)造成部分信息的損失或者損壞，影響遠(yuǎn)距離的通信質(zhì)量，讓一些黑客有機(jī)可乘。

第三，網(wǎng)絡(luò)使用者自身因素。每個(gè)企業(yè)都有自己的內(nèi)網(wǎng)，企業(yè)建立內(nèi)網(wǎng)是為了方便員工的使用，加快信息的傳遞，提高工作效率。但是隨著企業(yè)的擴(kuò)大，企業(yè)的員工，客戶也會(huì)相應(yīng)地增加，這些對(duì)于網(wǎng)絡(luò)來說就是使用者即用戶的增加，這必然會(huì)給網(wǎng)絡(luò)的安全性帶來一定的威脅，因?yàn)檫@其中就有可能會(huì)有黑客，它必然會(huì)竊取企業(yè)的信息及機(jī)密。因此，用戶在使用電腦時(shí)，應(yīng)該設(shè)置稍微復(fù)雜的開機(jī)口令，在使用網(wǎng)絡(luò)時(shí)注意減少進(jìn)入與工作不相關(guān)網(wǎng)頁的次數(shù)，對(duì)隱私文件要設(shè)置加密，這些基本的常識(shí)能有效的保護(hù)信息安全。

第四，網(wǎng)絡(luò)主機(jī)因素。在建立內(nèi)往后，由于企業(yè)的需求和使用網(wǎng)絡(luò)量大，原來的局域網(wǎng)必然不能滿足日益擴(kuò)大的企業(yè)的需求，這就會(huì)增加一些譬如服務(wù)器，中型機(jī)，小型機(jī)，工作站等。這就會(huì)造成若干個(gè)操作系統(tǒng)的不同，這其中任意一臺(tái)主機(jī)有操作系統(tǒng)漏洞都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。所以，需要我們?nèi)嬉?guī)劃網(wǎng)絡(luò)平臺(tái)的安全策略，使用防火墻，使用有效的殺毒軟件，同時(shí)也要注意到網(wǎng)絡(luò)設(shè)備的無力保護(hù)。

經(jīng)過多次實(shí)踐證明，大部分的網(wǎng)絡(luò)安全問題都是由網(wǎng)絡(luò)內(nèi)部引起的，因此企業(yè)應(yīng)該對(duì)自己企業(yè)的內(nèi)網(wǎng)安全性高度重視，一定要制定出相關(guān)的網(wǎng)絡(luò)管理制度，并有專人管理監(jiān)督，這就需要我們有專門的網(wǎng)絡(luò)管理員，專門的網(wǎng)絡(luò)安全員。要培養(yǎng)專門的網(wǎng)絡(luò)管理員，專門的網(wǎng)絡(luò)安全員，而且要求網(wǎng)絡(luò)程序員編程嚴(yán)密，符合國際主流的協(xié)議規(guī)定，這就要求企業(yè)首先要選拔具有計(jì)算機(jī)基礎(chǔ)知識(shí)，尤其是具有網(wǎng)絡(luò)安全知識(shí)的專業(yè)技術(shù)人員，再對(duì)他們進(jìn)行專業(yè)的網(wǎng)絡(luò)安全學(xué)習(xí)，網(wǎng)絡(luò)安全教育，網(wǎng)絡(luò)安全培訓(xùn)，培養(yǎng)出高技術(shù)人才從事網(wǎng)絡(luò)安全管理工作，這樣能有效提高企業(yè)的網(wǎng)絡(luò)使用安全。

因此，先進(jìn)的技術(shù)手段，能夠有效地防護(hù)信息安全，譬如殺毒軟件，防火墻，但是網(wǎng)絡(luò)自身的隱患無法根除，這就要求我們作為信息安全的維護(hù)人員，應(yīng)該養(yǎng)成良好的程序編寫習(xí)慣，提高網(wǎng)絡(luò)安全意識(shí)，建立好網(wǎng)絡(luò)管理制度、方法，增強(qiáng)日常網(wǎng)絡(luò)管理、維護(hù)。有效防止病毒及黑客的入侵。