常見的Web安全漏洞及防御技術(shù)

編者按：Web安全是常見的安全威脅，本文通過介紹幾種常見的Web安全漏洞以及相應(yīng)的防護(hù)技術(shù)，來增強(qiáng)人們對(duì)Web安全的防范意識(shí)和能力。

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心2020年4月發(fā)布的《第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，我國(guó)網(wǎng)站數(shù)量497萬個(gè)，網(wǎng)頁數(shù)量2978億個(gè)，其中動(dòng)態(tài)網(wǎng)頁916億個(gè)。

Web系統(tǒng)在帶來工作效率提升和生活便利的同時(shí)，也帶來了諸多安全隱患。本文介紹幾種常見的Web安全漏洞以及相應(yīng)的防護(hù)技術(shù)。

SQL注入漏洞

目前多數(shù)動(dòng)態(tài)Web系統(tǒng)，都會(huì)向用戶提供可向數(shù)據(jù)庫(kù)查詢的接口。例如，URL中的參數(shù)、網(wǎng)站搜索功能以及用戶名密碼登錄功能等。Web系統(tǒng)執(zhí)行這些接口功能，通常會(huì)用SQL語句向數(shù)據(jù)庫(kù)請(qǐng)求查詢，以獲取相應(yīng)的內(nèi)容。如果Web系統(tǒng)對(duì)用戶輸入的內(nèi)容過濾不嚴(yán)格，那么就容易導(dǎo)致SQL注入攻擊。

以用戶名密碼登錄功能為例。用戶點(diǎn)擊“登錄”按鈕后，系統(tǒng)執(zhí)行SQL語句，如果系統(tǒng)對(duì)用戶輸入的賬號(hào)和密碼沒有嚴(yán)格過濾，那么黑客在賬號(hào)和密碼框中輸入精心設(shè)計(jì)的語句，即可繞過用戶名和密碼驗(yàn)證進(jìn)行登錄。

防御方法：對(duì)用戶提交的參數(shù)及數(shù)據(jù)進(jìn)行嚴(yán)格過濾；對(duì)數(shù)值型的參數(shù)要判斷是否包含字符；對(duì)字符型的參數(shù)，要對(duì)單引號(hào)、雙引號(hào)及連接符等特殊字符進(jìn)行過濾。此外，PHP、.net、jsp提供參數(shù)化查詢的方式，把用戶輸入的參數(shù)作為單純的字符串來處理。

XSS漏洞

XSS漏洞是由于Web系統(tǒng)對(duì)用戶輸入的內(nèi)容未經(jīng)有效驗(yàn)證，然后又將這些內(nèi)容返回給客戶端造成的。黑客向含有XSS漏洞的Web頁面中插入惡意的script代碼或數(shù)據(jù)，其他用戶瀏覽該頁面時(shí)，這些惡意script代碼或數(shù)據(jù)就會(huì)被執(zhí)行。黑客通過XSS攻擊可以插入惡意鏈接，獲取用戶cookie信息。

以留言板為例，留言板典型的工作模式是將用戶輸入的留言內(nèi)容顯示出來。假設(shè)顯示某一條留言的代碼如下：

---

---

。其中“這是我的留言內(nèi)容”為用戶輸入的留言信息。如果黑客在留言板中輸入惡意代碼，客戶端運(yùn)行時(shí)將會(huì)彈出對(duì)話框，從而泄露用戶瀏覽器cookie信息。

防御方法：一是Web系統(tǒng)需要對(duì)用戶提交的數(shù)據(jù)進(jìn)行過濾，比如過濾單引號(hào)、連接符以及單書名號(hào)等特殊字符；二是前端處理，在需要輸出的地方使用HTML實(shí)體編碼對(duì)script標(biāo)簽等敏感字符進(jìn)行轉(zhuǎn)義。

驗(yàn)證碼繞過漏洞

驗(yàn)證碼在用戶登錄，信息提交等情況下使用較多，目的是防止暴力破解攻擊以及機(jī)器人自動(dòng)攻擊。如果驗(yàn)證碼機(jī)制設(shè)置不當(dāng)，或者驗(yàn)證碼容易被程序自動(dòng)識(shí)別，那么黑客可以繞過驗(yàn)證碼發(fā)動(dòng)暴力破擊攻擊，機(jī)器人可以在Web系統(tǒng)中注冊(cè)大量用戶以及發(fā)布大量垃圾信息。

常見的驗(yàn)證碼繞過漏洞有以下幾種情況：一是驗(yàn)證碼不刷新，在某一時(shí)間段或多頁面窗口中驗(yàn)證碼相同，用戶獲取的驗(yàn)證碼可以重復(fù)使用；二是在Web前端可獲取驗(yàn)證碼，比如驗(yàn)證碼信息隱藏在網(wǎng)頁源代碼或cookie信息中，黑客通過代碼分析或cookie分析即可獲??；三是驗(yàn)證碼易于識(shí)別，黑客可使用自動(dòng)識(shí)別軟件等獲取驗(yàn)證碼信息；四是驗(yàn)證碼和用戶名密碼不同時(shí)提交服務(wù)器驗(yàn)證，可能泄露服務(wù)器反饋信息；五是驗(yàn)證碼數(shù)量有限，可輕易構(gòu)造所有驗(yàn)證碼。

防御方法：一是驗(yàn)證碼及時(shí)刷新；二是驗(yàn)證碼信息不存放在網(wǎng)頁源碼中及cookie信息中，從網(wǎng)站后端產(chǎn)生；三是采用不易識(shí)別的驗(yàn)證碼，比如在驗(yàn)證碼圖片中加入噪聲信息、對(duì)驗(yàn)證碼錯(cuò)位排列或扭曲變形等；四是驗(yàn)證碼和用戶名密碼同時(shí)提交，且后端需先核驗(yàn)驗(yàn)證碼，驗(yàn)證碼正確后再核驗(yàn)用戶名密碼；五是增加驗(yàn)證碼長(zhǎng)度，擴(kuò)展驗(yàn)證碼組合數(shù)量。

文件上傳漏洞

多數(shù)Web系統(tǒng)都具有上傳功能，比如用戶頭像上傳、發(fā)帖圖片上傳以及文檔存儲(chǔ)上傳等。有些文件上傳的功能代碼沒有對(duì)用戶上傳的文件類型或者后綴名進(jìn)行限定，使得黑客可以利用上傳功能向Web系統(tǒng)上傳任意類型的文件，比如木馬、病毒或惡意腳本等。通過該漏洞，黑客可以誘騙其他用戶下載木馬或病毒，也可以獲取網(wǎng)站權(quán)限或者服務(wù)器權(quán)限，危害非常大。

造成文件上傳漏洞的主要原因有以下幾點(diǎn)。

一是文件上傳時(shí)沒有對(duì)文件格式進(jìn)行檢測(cè)，或是只在客戶端進(jìn)行文件類型檢測(cè)，這樣容易被黑客繞過檢測(cè)機(jī)制。比如黑客可以通過NC等工具提交文件，導(dǎo)致任意類型的文件都可以上傳至Web系統(tǒng)。

二是上傳后對(duì)文件名處理不當(dāng)。有些Web系統(tǒng)限定了文件上傳類型，但對(duì)上傳后的文件名限定不嚴(yán)格，從而可以繞過限定。比如，某系統(tǒng)限定了PHP類型的文件上傳，但是允許上傳doc類型文件。黑客將想要上傳的PHP文件后綴名改為doc類型，上傳成功后，黑客再將該文件的后綴名改為PHP，從而繞過上傳限定。

防御方法：一是采用白名單或黑名單方式，在客戶端和服務(wù)器端均對(duì)上傳文件的類型進(jìn)行限定，不允許上傳限定類型以外的其他類型文件；二是禁止修改上傳文件的后綴名，防止通過更改后綴名方式繞過上傳限定機(jī)制；三是將存儲(chǔ)上傳文件的目錄設(shè)置為只讀，禁止Web容器解析該目錄下的文件，以此限定上傳文件的執(zhí)行。

結(jié)語

在Web系統(tǒng)開發(fā)及部署過程中，程序開發(fā)人員及網(wǎng)絡(luò)管理人員往往注重系統(tǒng)功能的實(shí)現(xiàn)而忽視安全防護(hù)。因此，相關(guān)人員要增強(qiáng)安全意識(shí)，從代碼編寫及服務(wù)器配置方面加強(qiáng)Web系統(tǒng)安全性能，杜絕各類安全漏洞。