【摘要】随着“互联网+”时代的到来，互联网在人们生活中扮演着越来越重要的角色。互联网渗透到人们的生活的同时，随之而来的是频频发生的网络安全问题。因此，网络安全问题日趋重要。面对高发的网络安全问题，如何有效的减少Web应用程序中的各种漏洞以及当非法用户对Web应用程序进行攻击时，系统应做出怎样的反攻击用以确保Web应用程序能够正常运行。

【关键词】网络安全；Web漏洞；防御机制；渗透测试

一、前言

随着网上购物、网上支付的普遍化，我们却面临着各种各样的网络安全威胁。计算机病毒、网络诈骗、数据丢失和隐私泄露等问题在时时刻刻地困扰着我们。信用卡、银行卡显然对黑客有着极大的诱惑力，不断出现非法信用卡交易网站对盗来的信用卡通过论坛、用户反馈和卖家评价等进行交易。我们的个人信息、各种密码、电话号码、电子邮件账户等在无意间就被泄露出去，这给我们的生活带来了极大的困扰。于是构建一个良好的网络环境，对于病毒和系统漏洞做好安全防范以及及时查杀病毒和修复漏洞就显得尤为重要。为了避免计算机网络遭遇恶意软件、病毒和黑客攻击，就必须要做好计算机网络安全维护和防护。

二、Web应用程序的安全现状的分析

互联网发展的早期是由Web站点构成的，这些站点中大多存储的是静态文本。Web浏览器出现之后，用Web浏览器来检索、显示储存在Web站点中的文档。早期的互联网发展模式中，信息的流向只是服务器向浏览器的单方向传送。大多数站点对所有用户同等对待，提供同样的服务与信息，而且不验证使用该站点的用户是否合法。网络安全隐患主要与Web服务器中软件的漏洞有关。因此，非法用户通过修改服务器上的文件，篡改Web站点存储的静态文本，用来传播非法的信息；或者利用服务器的存储容量和带宽搭载非法软件，对非法软件进行传播。互联网发展到今天已经发生了很大的变化，如今Web上的大多数站点实际上是应用程序。这些应用程序功能强大，不仅有注册、登录、金融交易、搜索等功能，而且能够在浏览器与服务器之间进行双向信息传递。用户通过浏览器获取的信息以动态形式生成，而且通常能够满足各用户的特殊需求。其中，处理的许多信息属于私密和高度敏感的信息。虽然Web应用程序在不断地发展，但新的安全隐患也随之产生。安全漏洞随着应用程序不同而有所差异。很多应用程序的开发人员对他们自己编写的代码中潜在安全隐患也不是很清楚。通常Web应用程序要与相应的存储着私密数据的数据库建立连接的，一旦非法用户发现并利用应用程序中的漏洞，将会引起很多的安全问题。试想，如果Web应用程序会将用户的信息泄露给任一利用“特殊技术”的非法访问者，用户将会使用该Web应用程序吗？

三、网络安全常见问题

常见的Web网络安全问题主要有：注入攻击和跨站脚本攻击、跨站请求伪造、不完善的身份验证措施等漏洞。

1、注入攻击和跨站脚本攻击。注入攻击有很多形式，包括SQL注入、HTML注入、操作系统、电子邮件和LDAP注入等。攻击者利用这些漏洞在使用网络访问的同时，将一些非法数据“悄无声息”地发送给要攻击的网站，这些非法数据能让应用程序執行一些特殊命令或访问一些敏感数据。下面重点介绍SQL注入。

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串中去，最终达到欺骗服务器执行恶意的SQL命令的一种入侵方式。比如，曾经有很多影视网站泄露VIP会员密码大多就是通过Web表单递交查询字符暴露出的，这类表单特别容易受到SQL注入式攻击。

跨站脚本（XSS）攻击会将客户端脚本代码（如JavaScript）注入到Web应用的输出中，从而攻击应用的用户。只要访问受攻击的输出或页面，浏览器就会执行代码，让攻击者劫持用户会话，将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中，通常应用会接受用户提供的数据而没有正确验证或转码。

2、跨站请求伪造（CSRF）：利用这种漏洞，攻击者可以诱使用户在无意中使用自己的用户权限对应用程序执行操作。恶意Web站点可以利用该漏洞，通过受害用户与应用程序进行交互，执行用户并不打算执行的操作。如果应用程序完全依赖HTTP cookie传送会话令牌，它很容易受到跨站请求伪造攻击。

3、不完善的身份验证措施：这类漏洞包括应用程序登录机制中的各种缺陷，可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。

4、如何有效地应对网络安全问题。针对Web应用程序所受到的某种形式的攻击，防御者应采取相应的安全机制来应对攻击者发起的攻击。针对注入攻击和跨站脚本攻击、跨站请求伪造、不完善的身份验证措施这些漏洞，以下是应用程序应对恶意用户所采取的一些主要防御机制。

（1）注入攻击和跨站脚本攻击：为了防御注入攻击和XSS攻击，应用程序应该设置为在不清楚数据的安全性的情况下，默认所有数据——无论是来自表单、URL、Cookie或应用的数据库，都是不可信来源。要检查所有处理用户提供数据的代码，保证它是有效的。验证函数需要清理所有可能有恶意作用的字符或字符串，然后再将它传给脚本和数据库。要检查输入数据的类型、长度、格式和范围。此外，一定要检查所有从客户端接受的值，进行过滤和编码，然后再传回给用户。

（2）防止CSFR漏洞：防范CSRF攻击的标准方法，是将HTTP cookie与其他追踪令牌的方法相结合。这类方法通常采用其他通过HTTP隐藏表单字段传输的令牌。在每次提交请求时，应用程序除确认会话cookie外，还核实表单是否传送了正确的令牌。如果攻击者无法确定该令牌的值，就无法构建跨领域请求，也就无法执行所需的操作。

（3）为了发现身份验证问题，网站维护过程中，要执行代码检查和渗透测试。可以使用自动化代码和漏洞扫描程序，发现潜在的安全问题。有一些地方通常需要特别注意，其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。

网络安全隐患无处不在，用户应掌握防范间谍软件、木马程序和病毒的有效方法，安装高效的防毒杀毒程序，建立系统化的安全防御机制，做好上网时的安全防御和监控。

四、结语

大约将近20年的时间互联网已经由静态信息仓库发展为功能强大的应用程序，能够处理敏感的数据并执行用于输出实际结果的高度功能化的应用程序。在这个发展过程中，多种因素造成了当前绝大多数Web应用程序所面临的安全保护不足的状况。任何情况下，如果一个应用程序必须接受并处理可能为恶意的未经验证的数据，就会产生Web应用程序面临的核心问题，即用户可以提交任意输入。当前Web应用程序安全状况的所有证据表明，这个问题尚未得到很好的解决，而且不管是对部署Web应用程序的组织还是访问他们的用户而言，针对Web应用程序的攻击都是一个严重的威胁。

【参考文献】

[1] 钟晨鸣， 徐少培， 著. Web前端黑客技术揭秘[M]. 北京：电子工业出版社， 2013.1.

[2] 风云工作室， 编著. 黑客攻防实战从入门到精通[M]. 北京：化学工业出版社， 2015.10.

[3] 吴长坤， 著. 黑客攻防入门与实战[M]. 北京：企业管理出版社， 2010.5.

【作者简介】

周金萍（1992—），女，河南漯河人，兰州市榆中县西北民族大学软件工程专业本科生。