王洪亮

摘 要：Web应用程序的应用范围越来越广泛，进而引发不法分子的恶意攻击，给企业和用户的信息安全带来极大的威胁，加强Web应用程序的安全保护就成为当前面临的紧迫任务。本文主要围绕Web应用程序的安全防护展开相关论述。

关键词：Web;应用程序;安全防护;服务器

1 概述

随着信息技术和网络技术的不断发展，企事业单位在构建内部业务应用系统和对外信息发布平台时，都不可避免地要使用Web应用技术。该技术不仅能为用户提供简单便捷的交互平台，还为信息服务商提供了构建信息系统的标准化技术，因此在各个领域得到了广泛的应用。伴随着Web技术应用范围的不断扩大，针对该应用程序的攻击也越来越多，Web应用技术的安全正在遭受前所未有的威胁和调整。

2 Web应用安全问题产生原因分析

2.1 Web应用程序自身的原因

早期的万维网只能提供静态的HTML页面浏览服务，站点用户不需要通过身份验证即可享受服务，这种情况下Web站点的安全仅与Web服务器软件机操作系统的漏洞有关，解决这两部分的安全问题，就可为Web站点的安全提供有力保障。而当前的万维网提供的服务已经逐渐升级到动态解析应用程序的层面，即Web应用程序，该程序能够为用户提供注册、登录、搜索、交易等与用户身份密切相关的服务，这些服务需要在客户端和服务器之间进行双向数据交互才能完成，而交互的数据可能包括了用户的个人隐私或机密信息。但Web程序在开发过程中可能存在的技术漏洞，就成为引发各种安全问题的主要原因。Web站点上运行程序不同，存在的漏洞也各具差异：Web应用程序无法对客户端的操作进行有效干预，用户可向应用程序提交任意的请求指令，而指令中一旦含有错误或异常信息，就会对应用程序的安全性产生威胁。常见的安全隐患主要有以下几种：攻击者可以对客户端和服务器间的交互数据进行篡改;攻击者利用恶意参数，改变用户输入的最初假设，引发程序异常;攻击者利用智能化的攻击工具影响浏览器的正常服务，或短时间内产生大量请求，然后利用程序漏洞达到自身的攻击目的。

2.2 安全意识薄弱

Web应用程序客户端用户对应用安全问题没有引起足够的重视，在应用程序过程中没有形成良好的用网习惯;而Web应用程序的开发人员对该应用领域的核心概念了解不够深入，甚至存在误解，直接导致Web应用程序在设计过程中就存在设计缺陷，为程序的后期应用的安全埋下了隐患。

2.3 其他原因

在设计Web应用程序时，滥用第三方模块，影响了程序的性能;缺乏高质量的安全测试，只对程序进行快速渗透测试，使程序中的隐蔽漏洞无法及时发现;安全威胁更新速度快，在程序研发初期对技术漏洞进行有效处理后，会在短时间内生产新的威胁。

3 Web应用程序安全防护研究

3.1 应用层安全防护技术

Web应用程序研发及使用之前，企业只要从网络边界低于外部网络的攻击就可对内部网进行有效的安全防护，常用的安全防护技术有修补系统漏洞、加强对开放服务的安全管理、在网络边界上部署防火墙和入侵监测系统等一系列安全设备。

Web应用程序接收外网用户输入方式具有多样性，与内部网络重要数据的交互同样具有多样性，这就对Web应用程序的安全防护技术提出了严峻的挑战。在设计Web应用程序安全防护措施时，应从以下几方面进行考虑：①对用户的输入数据进行安全检测，防止恶意输入或输入非法数据;②对Web用户的访问权限进行检测，防止不良用户的恶意入侵;③对攻击行为进行快速、准确的识别，为Web应用程序的正常运转提供安全保障，同时对攻击者的非法行为进行极力挫败;④协助管理员对Web应用程序的异常行为进行实时监控，在发生异常情况时，及时发出警报。

3.2 综合层面的Web应用程序安全防护措施

除应用层外，Web服务器主机平台同样面临着安全威胁，分布式拒绝服务（DDos）、端口扫描攻击等，因此在构建Web应用程序安全防御系统时，不仅要从应用层面进行构建，还应从服务器平台层面进行构建，以达到对Web应用平台的全面保护。

第一，Web服务器在部署完毕后，由于管理水平和技术水平限制的原因，可能会在服务器上配置或开启了一些不必要的服务，这些不必要的服务就成为攻击者入侵程序的入口。Web安全防护系统可提供安全检测功能，对操作系统及Web服务器软件中可能存在的安全隐患进行扫描，管理员结合生产的扫描报告对安全漏洞进行及时修复，一定程度上可提高系统的安全性。

第二，可获取服务器运行状态的信息，为管理员对系统运行的安全性提供判断依据。其中系统信息应包括系统硬件的基本信息、系统软件的相关信息、CPU利用率、硬盘内存利用率、TCP和UDP网络连接情况、Windows系统服务情况等，管理员根据以上信息，可对系统的安全性进行初步定位。

第三，实时监测功能的利用。利用实时监测功能，对系统的运行性能进行检测，当系统性能的运行指标出现异常时，系统能够生成告警并对其进行记录。例如，当系统受到DDos攻擊时，系统性能会发生改变，结合系统的历史记录、实时告警指标等对其进行判断，查看系统是否正在遭受DDos攻击，以便及时采取有效保护措施。

第四，当网站数量较多时，应对网站进行集中式统一管理。用户可将网站的相关信息和攻击数据提交到统一的数据服务器保存，这种集中式统一管理模式为管理员对网站上安装的Web防护系统的远程监督和管理提供了便利。

4 结语

随着网络技术的不断发展，企业、政府、个人对Web应用程序的依赖程度越来越高，这就使得不法分子开始利用各种攻击工具对应用程序进行非法侵入，以达到自己的攻击目的。Web应用程序的安全防护不仅需要设计人员从应用层面和系统层面对其进行安全防御体系建立，还应从提高用户方的安全防护意识入手，以便建立全方位的安全防御体系。

参考文献：

[1]李昌.Web应用安全防护技术研究与实现[D].中南大学，2010.

[2]李必云，石俊萍.Web攻击及安全防护技术研究[J].电脑知识与技术，2009，5（31）：8647-8649.

[3]龙兴刚.Web应用的安全现状与防护技术研究[J].通信技术，2013（7）：63-66.