李 尚

（國家新聞出版廣電總局 機關(guān)服務(wù)局，北京 100866）

Web網(wǎng)站的安全問題及防護(hù)策略

李 尚

（國家新聞出版廣電總局 機關(guān)服務(wù)局，北京 100866）

本文針對Web網(wǎng)站的安全現(xiàn)狀進(jìn)行分析，介紹目前常見的對Web網(wǎng)站攻擊的手段和危害，探討如何采取相應(yīng)的防護(hù)策略加固網(wǎng)站的安全。

計算機網(wǎng)絡(luò)；網(wǎng)站安全；防護(hù)

計算機網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用在各行各業(yè)，改變了許多人的生活方式。網(wǎng)上購物，微信聊天，通過手機獲取資訊等互聯(lián)網(wǎng)應(yīng)用已經(jīng)融入到人們的生活。網(wǎng)絡(luò)數(shù)據(jù)的安全問題成為了我們關(guān)注的焦點，在互聯(lián)網(wǎng)及大數(shù)據(jù)快速發(fā)展的今天，如果網(wǎng)站存在安全漏洞，就會造成大量用戶的數(shù)據(jù)泄密和不可估量的損失。解決Web網(wǎng)站的安全問題迫在眉睫。

1 Web網(wǎng)站安全現(xiàn)狀分析

隨著Web網(wǎng)站站點數(shù)量快速增長，人們不僅會訪問境內(nèi)的網(wǎng)站，也會連接到其他國家的網(wǎng)站，因此Web網(wǎng)站的安全問題變得更加嚴(yán)峻。Web網(wǎng)站常見的安全隱患如下。

1.1 自然因素

計算機信息系統(tǒng)是智能機，由軟件設(shè)施和硬件設(shè)施組成，機器設(shè)備容易受到自然因素的影響。例如，自然環(huán)境中的氣溫、火災(zāi)、空氣濕度、化學(xué)物質(zhì)的污染、聲音污染等。由于計算機設(shè)備中沒有防水、防潮、防震、防火等功能，所以沒有防御自然災(zāi)害的能力。

1.2 網(wǎng)絡(luò)系統(tǒng)因素

Internet技術(shù)具有開放性，這是網(wǎng)絡(luò)系統(tǒng)的優(yōu)勢，同樣也是劣勢。從網(wǎng)絡(luò)安全角度來看，正是因為Internet技術(shù)的開放性，造成網(wǎng)絡(luò)安全的巨大隱患。不法犯罪分子通過網(wǎng)絡(luò)平臺，惡意盜取計算機用戶的信息，進(jìn)行犯罪活動，造成用戶的經(jīng)濟(jì)損失。

1.3 黑客惡意攻擊

黑客的惡意攻擊包含兩方面：（1）網(wǎng)絡(luò)攻擊，在用戶使用網(wǎng)絡(luò)的過程中進(jìn)行數(shù)據(jù)破壞；（2）不影響用戶的正常使用，有目的性地進(jìn)行信息竊取。

黑客攻擊是對網(wǎng)絡(luò)安全的重大威脅，不法分子利用非法的手段進(jìn)行系統(tǒng)信息的盜取、竊聽、修改、破壞等，導(dǎo)致系統(tǒng)數(shù)據(jù)的丟失和外泄，給國家的經(jīng)濟(jì)造成嚴(yán)重的損失。

1.4 用戶因素

很多網(wǎng)站開發(fā)人員熟知網(wǎng)頁的搭建和界面的美化，但網(wǎng)絡(luò)安全的技能相對薄弱，從而導(dǎo)致網(wǎng)站在建成后存在很多常見的安全隱患。此外，網(wǎng)站在上線后，沒有專職的安全維護(hù)人員對網(wǎng)站服務(wù)器進(jìn)行安全補丁的更新，易被攻擊者利用。

2 Web網(wǎng)站攻擊手段和危害

2.1 SQL注入攻擊

SQL注入攻擊利用服務(wù)器端代碼自身存在的漏洞進(jìn)行攻擊，在Web客戶端和服務(wù)器連接后，對數(shù)據(jù)庫后端進(jìn)行攻擊。這種攻擊方式的優(yōu)勢在于，攻擊者可以直接訪問數(shù)據(jù)庫，跳過了很多安全防護(hù)機制，進(jìn)而使用非法獲得的權(quán)限對非授權(quán)的數(shù)據(jù)進(jìn)行訪問。SQL攻擊存在大量的方法，十分靈活，攻擊者可以根據(jù)Web應(yīng)用程序中存在的各種漏洞，編寫不同的腳本，選擇最有效的攻擊方法。最常見的SQL攻擊分為以下3種：

（1）get型注入，get型SQL注入存在于帶有參數(shù)的動態(tài)網(wǎng)頁中。網(wǎng)站開發(fā)人員沒有對參數(shù)進(jìn)行過濾，攻擊者可以使用ID所帶的參數(shù)直接進(jìn)入數(shù)據(jù)庫中查詢，輕易地得到網(wǎng)站數(shù)據(jù)庫中的信息。

（2）post型SQL注入，隱蔽性更強的攻擊方式。post方式傳遞數(shù)據(jù)應(yīng)用于目前大多數(shù)網(wǎng)站后臺登錄框中，如果沒有過濾，攻擊者就能獲取到管理員賬號密碼，提升權(quán)限，非法進(jìn)入網(wǎng)站的后臺管理系統(tǒng)。

（3）cookie型SQL注入，在ASP語言中request對象獲取客戶端提交數(shù)據(jù)常用get和post兩種方式。如果網(wǎng)站開發(fā)人員沒有定義數(shù)據(jù)傳遞方式，通過cookie就可以獲取客戶端提交的數(shù)據(jù)，如果再對相應(yīng)的數(shù)據(jù)過濾，cookie注入就產(chǎn)生了。攻擊者一般會在前兩種方式失效后采取cookie型SQL注入的攻擊方式。

SQL注入攻擊對網(wǎng)站的危害包括4個方面：

（1）網(wǎng)站數(shù)據(jù)庫遭受攻擊。數(shù)據(jù)庫放置著所有用戶信息等重要數(shù)據(jù)，一旦被竊取，導(dǎo)致網(wǎng)站用戶的隱私信息落入攻擊者手中，攻擊者就可以從中獲得非法利益。

（2）獲得網(wǎng)站管理權(quán)限。數(shù)據(jù)庫中存儲著網(wǎng)站管理員的賬戶信息，管理員擁有網(wǎng)站管理系統(tǒng)的最高權(quán)限，一旦被非法獲得，網(wǎng)站后臺數(shù)據(jù)就會被篡改，網(wǎng)站頁面也會直接被篡改。

（3）網(wǎng)站被植入木馬。攻擊者入侵網(wǎng)站后在系統(tǒng)內(nèi)留下后門，網(wǎng)站服務(wù)器就變成了僵尸主機。

（4）直接破壞硬盤中的數(shù)據(jù)，致使系統(tǒng)遭到破壞。

2.2 XSS跨站腳本攻擊

跨站腳本攻擊（XSS）是由于Web開發(fā)者在編寫應(yīng)用程序時沒有對用戶提交的語句和變量中進(jìn)行過濾或限制，攻擊者通過Web頁面向數(shù)據(jù)庫或HTML頁面中提交惡意的html代碼，當(dāng)用戶打開有惡意代碼的連接或頁面時，惡意代碼會自動執(zhí)行，從而達(dá)到攻擊的目的。

2.3 WebShell攻擊

WebShell是Web入侵的一種腳本工具，通常情況下，是一個ASP、PHP或者JSP程序頁面，也叫做網(wǎng)站后門木馬，在入侵一個網(wǎng)站后，常常將這些木馬放置在服務(wù)器Web目錄中，與正常網(wǎng)頁混在一起。通過WebShell，長期操縱和控制受害者網(wǎng)站。

2.4 目錄遍歷攻擊

目錄遍歷攻擊又稱目錄穿越、惡意瀏覽、文件泄露等，攻擊者利用系統(tǒng)漏洞訪問合法應(yīng)用之外的數(shù)據(jù)或文件目錄，導(dǎo)致數(shù)據(jù)泄露或被篡改。目錄遍歷攻擊的危害在于，在攻擊過程中，攻擊者并不清楚網(wǎng)站的主目錄位置，但是只要通過簡單的測試就可以推斷出結(jié)果。因而，通過目錄遍歷攻擊，攻擊者就可以突破網(wǎng)站主目錄的限制，而去訪問服務(wù)器上的敏感文件。

3 Web網(wǎng)站的防護(hù)手段

采取單一的手段無法解決當(dāng)前的Web網(wǎng)站安全問題，需要針對不同的攻擊方式采取不同的手段，再結(jié)合整體的構(gòu)建，對Web網(wǎng)站實現(xiàn)多重加固。

3.1 SQL注入的防范

（1）對于SQL注入的防范關(guān)鍵是在源代碼，要完善源代碼，對每一個進(jìn)入數(shù)據(jù)庫查詢的變量進(jìn)行嚴(yán)格過濾。

（2）盡量設(shè)置復(fù)雜的Web網(wǎng)站后臺目錄，攻擊者即使破解出用戶名和口令，但是找不到后臺路徑就不可能上傳惡意腳本。

（3）加強網(wǎng)站數(shù)據(jù)庫的用戶權(quán)限設(shè)置，Web網(wǎng)站連接數(shù)據(jù)庫的用戶權(quán)限設(shè)置為最小，并以最小權(quán)限原則建立專門的賬戶，運行數(shù)據(jù)庫服務(wù)。

3.2 XSS跨站腳本攻擊的防范

（1）XSS在用戶輸入處存在漏洞，必須對用戶輸入部分進(jìn)行過濾。

（2）嚴(yán)格控制存儲到服務(wù)器端的數(shù)據(jù)。

（3）使用XSS工具進(jìn)行測試，一旦發(fā)現(xiàn)問題，馬上處理。

3.3 WebShell攻擊的防范

對于WebShell攻擊的防范最關(guān)鍵是防止ASP、PHP、JSP等木馬程序文件的植入。一般可以從以下幾方面對安全性進(jìn)行處理。

3.3.1 Web軟件開發(fā)的安全

（1）程序中存在文件上載的漏洞，攻擊者利用漏洞上載木馬程序文件。

（2）防SQL注入、防暴庫、防COOKIES欺騙、防跨站腳本攻擊。

3.3.2 服務(wù)器的安全和Web服務(wù)器的安全

（1）服務(wù)器做好各項安全設(shè)置，病毒和木馬檢測軟件的安裝（WebShell的木馬程序不能被該類軟件檢測到），啟動防火墻并關(guān)閉不需要的端口和服務(wù)。

（2）提升Web服務(wù)器的安全設(shè)置。

（3）對以下命令進(jìn)行權(quán)限控制，以Windows為例：如cmd.exe、net.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe等。

3.3.3 ftp文件上載安全

設(shè)置好ftp服務(wù)器，防止攻擊者直接使用ftp將木馬程序文件上傳到Web程序的目錄中。

3.3.4 文件系統(tǒng)的存儲權(quán)限

設(shè)置好Web程序目錄及系統(tǒng)其它目錄的權(quán)限，相關(guān)目錄的寫權(quán)限只賦予給超級用戶，部分目錄寫權(quán)限賦予給系統(tǒng)用戶。

3.3.5 不要使用超級用戶運行Web服務(wù)

對于apache、tomcat等Web服務(wù)器，安裝后要以系統(tǒng)用戶或指定權(quán)限的用戶運行，如果系統(tǒng)中被植入了ASP、PHP、JSP等木馬程序文件，以超級用戶身份運行，WebShell提權(quán)后獲得超級用戶的權(quán)限進(jìn)而控制整個系統(tǒng)和計算機。

4 使用Web應(yīng)用防護(hù)系統(tǒng)加固網(wǎng)站安全

Web應(yīng)用防護(hù)系統(tǒng)（WAF，Web Application Firewall）是根據(jù)當(dāng)今網(wǎng)絡(luò)大環(huán)境應(yīng)運而生的一類產(chǎn)品，WAF用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題，與傳統(tǒng)防火墻相比，WAF工作在應(yīng)用層，能夠針對應(yīng)用層的攻擊進(jìn)行防范過濾。

通常情況下，WAF放在企業(yè)對外提供網(wǎng)站服務(wù)的DMZ區(qū)域或者數(shù)據(jù)中心服務(wù)區(qū)域，Web服務(wù)器是WAF所保護(hù)的對象，部署時要使WAF部署在Web服務(wù)器的前端，并盡量靠近Web服務(wù)器。WAF設(shè)備一般設(shè)有IPS漏洞特征識別庫、Web應(yīng)用防護(hù)識別庫、實施漏洞分析識別庫、數(shù)據(jù)泄密防護(hù)識別庫、僵尸網(wǎng)絡(luò)識別庫，部署WAF后，可以對識別庫內(nèi)的各種攻擊進(jìn)行防護(hù)，并且設(shè)備廠家會提供識別庫的更新，來應(yīng)對最新的攻擊手段?，F(xiàn)在主流的WAF產(chǎn)品都能夠?qū)?nèi)網(wǎng)的網(wǎng)絡(luò)安全狀況進(jìn)行評估，發(fā)現(xiàn)實時漏洞風(fēng)險，記錄安全事件，統(tǒng)計網(wǎng)絡(luò)各端口或者IP的流量，并能從中識別出異常的流量。網(wǎng)絡(luò)管理員可以清晰的掌握網(wǎng)絡(luò)中各種安全問題，包括攻擊的來源和攻擊手段，進(jìn)而采取相應(yīng)的策略，來加固網(wǎng)站的安全。部署了WAF后，網(wǎng)站的安全得到了明顯的加固。

5 結(jié)束語

通過對目前Web網(wǎng)站攻擊手段的分析，采取相應(yīng)的防范措施，可以使Web網(wǎng)站得到加固，然而，Web網(wǎng)站沒有絕對的安全，只有相對的完善，時刻都會有新的安全問題浮現(xiàn)出來。面對當(dāng)前日益嚴(yán)峻的安全形勢，網(wǎng)站安全防范必須從多角度、多層次入手，采取行之有效的技術(shù)手段和安全措施。

[1]趙 真.淺析計算機網(wǎng)絡(luò)的安全問題及防護(hù)策略[J].上海工程技術(shù)大學(xué)教育研究，2010（3）：9-11.

[2]馮永健.計算機網(wǎng)絡(luò)的安全問題及防護(hù)策略[J].計算機光盤軟件與應(yīng)用，2014（24）：203-205.

[3]彭 珺,高 珺.計算機網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計算機與數(shù)字工程，2011，39（1）：121-124.

[4]李 斯.校園網(wǎng)絡(luò)安全問題及防護(hù)策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（9）：38-39.

[5]黃順華.軍隊計算機網(wǎng)絡(luò)安全體系的研究[D].重慶：重慶大學(xué)，2006.

責(zé)任編輯 陳 蓉

Security issues and protection strategies for Website

LI Shang
( Agency Service Administration,State Administration of Press,Publication,Radio,Film and Television,Beijing 100866,China)

This article analyzed the security states to Website,introduced the common attack means and harm to the Website,discussed the corresponding protection strategy to strengthen the safety of Website.

computer network;Website security;protection

TP393

A

1005-8451（2016）06-0045-03

2015-12-16

李 尚，工程師。