Web系统安全威胁研究

2018-12-25阮云兰晏小庆江西工程学院

数码世界 2018年4期

阮云兰晏小庆江西工程学院

网络安全时代的到来，对于网络安全架构的基础往往由网络防火墙承担主要的防护措施，抑或是Admin通常经由锁定主机来处理安全问题，在这个过程之中却往往容易忽略应用程序开发设计时所存在的安全漏洞，故而Web应用程序对于其架构设计师以及开发人员往往认为其安全需要在事后以及时间允许情况下，对程序性能有所改良之后再去考虑安全性能方面的问题，而Web网络攻击通常可以直接破坏应用程序，贯穿Web网络防御。

1 Web应用系统所面临的安全问题

当下，互联网已经成为各大产业机构所必需的一个基础平台，考虑到Web应用的开放性质，各类Web软硬件的漏洞无可避免，日趋成熟化的网络骇客技术，黑客多将其注意力通由对网络服务器的攻击转变为Web应用的攻击之上，而如今大部分企业多将网络与服务器安全置于首位，反观Web安全系统方便却没有得到足够的重视，曾在2011年末，我国互联网行业内所爆发出各类CSDN“泄密门”事件，可见Web应用潜在威胁的序幕已经打开。

通常在Web应用程序于日常生活之中，多会受到各种形式的攻击，且多分为以下几个方面：

1.1 基于操作系统下的安全问题

操作系统以及后台数据方面的配置不合理，存在一定的漏洞，使致骇客、病毒对其存在的漏洞与弱口令进行攻击，这是基于操作系统之下的安全问题。

1.2 Web所存在的系统漏洞安全

Web服务器所发布的系统通常会存在一些安全漏洞，如IIS、Apache等，给攻击者可乘之机。

1.3 Web应用程序上的漏洞

多指的是Web应用程序的编写人员，对编写过程之中的安全因素没有进行全面考虑，造成黑客对于这些漏洞进行攻击，进行SQL注入以及跨站脚本攻击等。

1.4 自身所存在的网络安全情况

Web服务器所处在的网络安全情况也多影响着网站的安全，比如其中所存在的Dos攻击，或多或少啊都会影响到网站的正常运营。

2 Web应用的安全风险

攻击者可以通过应用程序中各种不同的路径与方法来危害网络业务以及企业组织。其中各种路径方法都代表了一种风险，有些路径方法很容易被发现并利用，有些则很难被发现。为了确定企业所面临的安全风险，可以结合其产生的技术影响和对企业的业务影响，进而评估威胁代理、攻击向量和安全漏洞的可能性。其中多通由威胁代理，对安全漏洞进行攻击向量，以达到安全控制，从技术影响上达到对功能的控制，进而影响企业行业的资产业务。

其中在2017威胁榜单之中，注入攻击漏洞居Top10之首，而XSS的威胁程度从A3降低到A7。其中敏感信息的泄露、安全配置上的错误以及失效的访问控制等威胁均有所提升，应受到各大企业的重视。其中2017web网络威胁榜单之中出现了一些新的安全威胁，包括 XXE漏洞(A4:2017,XML External Entity attack)、针对Java平台的不安全反序列化漏洞(A8:2017,Insecure Deserialization)以及记录和监控不足风险(A10:2017,Insufficient Logging & Monitoring)等，这些新兴的安全威胁也值得企业重点关注。

各类互联网产业相继不断浮现，网贷、购物以及社交等一系列新型互联网产品的诞生，企业信息化的过程中越来越多的应用都架设于Web平台上，接踵而至的就是Web安全威胁的凸显。大量黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

3 Web应用系统安全的防护措施

3.1 提高防范意识

有效设立网络安全基线，并且制定防篡改措施，检查各类应用程序是否安全使用解释器，仔细审查代码，合理运用代码分析工具以实现帮助安全分析，追踪应用的数据流。定期开展检查工作，并不定期对Web进行安全扫描，进行源代码方面的渗透评估测试，及时进行系统更新，执行应用程序动态扫描器及时提供信息反馈，以确认注入漏洞是否存在。其次，便是安装防病毒以及通讯监视软件，预防各类病毒的攻击。