惠好学（西安文理学院，陕西西安，710065）

web应用安全现状及防护研究

惠好学
（西安文理学院，陕西西安，710065）

在运用web应用时，应重视系统本身的安全保护，对系统中的漏洞及时进行处理与防护，以避免发生网络安全事件，给用户带来不可挽回的损失。本文首先阐述了web应用的安全现状，对系统的主要几种攻击方式进行了探讨并提出了一些防护对策，为web应用的安全防护提供理论借鉴。

web应用；安全现状；防护

Web应用普遍地运用在互联网中，成为互联网系统中的重要组成部分。该应用主要通过网络技术与用户的服务器进行连接，从而完成数据的传输以及管理工作。随着网络市场的快速发展，各种web应用软件层出不穷，质量不一，出现安全问题的情况越来越多，因而更加引起人们的重点关注与研究。本文对该系统的安全现状以及防护措施进行了探究，以提高web应用的安全性，确保用户的利益不受影响。

1 关于web应用的安全现状分析

有调查显示，我国互联网上有大量的主流应用软件以及门户网站被木马病毒进行“挂马”，并且以惊人的速度在大幅度上升。大部分的木马病毒为了扩散传播选择在一些用户常用的软件上恶意“挂马”，用户计算机不慎点入后将可能导致数据信息的损坏以及修改。而出现安全问题的原因在于，web应用软件本身存在安全漏洞，系统缺陷，给攻击者提供进攻机会。应用系统的不安全设置、实现代码出现漏洞、系统本身缺陷、程序员造成的安全漏洞都可能给web应用带来恶意攻击。且大部分攻击无法被计算机防火墙或者入侵监控系统有效处理。

其次，网络用户虽然在安全设备上愿意付出大量成本，例如防火墙的配置、漏洞扫描、系统修复工具等，但是却容易忽视web应用软件的自身安全，无法有效地对该软件进行安全保护。一些普通且不易被察觉的攻击只要连接上用户的服务器，进行攻击，放火墙等用于维护网络安全的设备将无法进行阻止。因为，SQL注入攻击进行访问时，不能被证明该访问是对用户网络进行恶意的攻击，不能被制止访问，只有在出现问题后才被发现，而此时一般的安全设备已无法应对SQL注入语句这类简单的攻击方式，web应用被入侵的可能性极大且可能造成不可估量的损失。

2 常见的的安全问题

人们在享受web应用软件所提供的便捷与各种，也同时面临着它带来的安全隐患。目前该软件存在来自多方面的安全问题，包括未经允许的存储动作、信息拦截窃取、服务器注入攻击、系统自身漏洞或操作产生的漏洞以及实现代码漏洞。相关的攻击报告统计，系统本身的缺陷形成的安全问题占高比例，而SQL注入语言攻击显得尤为突出。

2.1 SQL注入攻击

常见的注入攻击有SQL注入、LDAP、XPath等形式。这种攻击方式主要是管理员对web应用软件疏于检查，对输入的数据的合法性不够重视，从而导致攻击者能轻易向应用程序中的解释器发布恶意的数据指令。这类攻击一般不易被安全设备发现，攻击后形成巨大的损失，对整个的信息数据进行窃取、截获、篡改。更严重时，可以通过指令获取管理员的服务器访问自由，彻底控制服务器。

2.2 不安全的存取动作

Web应用中出现较为严重的安全事件往往是因为在操作系统中出现了问题，导致安全漏洞出现。不安全的存取让一些未经允许的用户进入服务器，得到重要的文件以及数据信息。用户甚至可以借此漏洞随意修改损坏服务器上的数据。

2.3 信息拦截窃取

Web软件的安全问题主要出现在信息的发送中，当用户向服务器进行信息发送时，恶意攻击者对发送的重要信息截取并修改，间接造成用户的经济损失及其他损失。

2.4 服务器注入攻击

该问题的出现指的是当攻击者主动对服务器发起进攻时，会遭受拒绝服务的攻击。对服务器过量的访问请求，将操作系统中的数据资源严重耗费。最终，服务器面对用户的客户的合理请求时无法回应处理。

2.5 系统自身漏洞或操作产生的漏洞

攻击者一般是利用系统本身存在的漏洞或程序员在操作时形成的漏洞，对整个系统展开攻击，使得整个系统的安全性被破坏，数据严重丢失。

2.6 实现代码漏洞

程序员在对该程序进行设计编码时，只对系统的性能以及功能进行设计而忽视了系统的安全性设计。在编写代码时造成漏洞，造成防火墙或者一般检测系统无法控制的注入漏洞，SQL语言被恶意输入系统后，得到应用的执行，造成应用安全系统的瘫痪。究其根源，在于程序员操作疏忽，编写代码时检测不彻底。

3 常见的5种攻击方式以及影响（如表1）

4 提高web应用的安全防护对策

4.1 注重保护操作系统安全

软件的操作系统是网络软件安全的首要保障，关乎着web应用的安全。对操作系统的保护主要有5方面需要加以重视。第一，及时更新升级系统存在的补丁。避免出现系统漏洞，给恶意攻击者可乘之机。第二，及时关闭网络窗口，减少入侵入口，降低攻击的可能性。第三，规范集中处理登陆密码，制定严格的密码管理程序，对各个网站应用的进入密码严格统一管理。第四，及时关闭没有使用的服务器，尤其是软件的安装过程中应格外注意，从而降低出现安全事件的可能性。第五，进行权限设置。对文件系统主张最小的用户权限，杜绝跨站脚本方面的攻击方式。

4.2 网络防护与通信防护

互联网包含着很多数据信息，面临大量的访问要求。保证网络的安全首要的是进行完善的网络防护。网络防护的技术主要是通过网络层，例如端口、协议等方面的保护。主要是借助 防火墙或者专业的交换机，前提是保障通信的顺畅，进行系统防护。在防火墙的使用上，通常只为合法的通信端口打开，对含有众多病毒的通信口关闭，从端口处对该系统进行分割。还可以借助安全设备，例如交换器、路由器建立访问控制，对访问网站的大量数据进行过滤。以保障用户在信息上的安全通信，实现信息传输的保密及完整。

4.3 SQL语言注入的防御方法

常用的防火墙或者其他安全设备已经无法识别并阻止SQL注入的攻击，对其防护措施只能借助其他方式。有效的方式有：检查静态页面、服务端过滤技术。在web软件应用时可以借助黑盒测试、语法解析来进行安全监测，对SQL注入可能攻击的代码进行一一排查，对代码质量进行严格把控。静态页面的测试有助于综合评测服务器的安全程度。

而服务端的过滤技术是指在服务端软件内加入过滤的模板，按照一定的过滤原则分析HTTP传入的数据，随即找出并阻止非法代码。

4.4 注重对应用的主机防护

主机平台的安全包括两方面：主机系统安全、组件系统安全。对其防护主要有以下方面：设置用户权限、设置访问权限、关闭服务器窗口、关闭访问链接以及最小化处理安装策略。用户在使用该系统时尽量操作规范，认真谨慎，提高主机的安全性。

5 结语

目前，Web 应用所带来的安全问题越来越多，而人们对其安全方面的认识还存在很多不足，对该系统的安全性重视不够。本文，对Web 应用的安全现状进行了分析，并重点介绍了防护对策，以提高web应用软件自身的安全性，减少用户的损失，帮助保障用户信息的保密与完整。

[1]李昌. Web应用安全防护技术研究与实现[D].中南大学,2010.

[2]赵忠鑫. Web应用的安全现状及防护措施[J]. 计算机光盘软件与应用,2012,21:91-92.

Web application security research present situation and protection

Hui Haoxue
（Xi'an University,Shanxi Xi'an,710065）

Therefore, when using the web application, should attach great importance to the protection of the security of the system itself and loopholes in the system for processing and protection in time, to avoid network security incidents, and to the user bring irreparable damage. This paper first describes the present situation of web application security, probes into several major attacks of system and puts forward some protective measures, provide theoretical reference for web application security protection.

web applications. Security situation; protective

表1 常见的5种攻击方式以及影响