基于Web应用的网络安全漏洞发现与研究
2020-04-21沈子雷
沈子雷
摘 要:随着Web应用系统的不断普及,越来越多的网络安全漏洞被发现,给人们的工作和生活都造成了极大的威胁。Web安全漏洞可以分成基于Web应用的网络安全漏洞和基于Web平台的网络安全漏洞两种。文章通过阐述这两种网络安全漏洞的现状及安全误区,总结几种常见的安全漏洞攻击方法,并提出有效措施以防范黑客攻击漏洞,维护网络系统的安全。
关键词:Web应用;网络安全漏洞;发现与研究
现阶段,计算机网络发展飞速,各大企业都开始利用Web系统工作,为企业提供了有效的信息管理支持。Web系统的广泛应用引起了很多黑客的注意,黑客利用网站系统的漏洞篡改网页内容,常见的方式有跨站脚本攻击、伪造跨站请求、结构化查询语言(Structured Query Language,SQL)注入攻击等,基于Web应用的网络安全面临着严重的威胁。本文将对Web的现状进行分析,并对各种安全漏洞进行研究,最后提出相应的防范网络安全漏洞的措施,有效防范黑客的漏洞攻击行为,让基于Web应用的网络系统更加安全[1]。
1 基于Web应用的网络安全概述
1.1 基于Web应用的网络安全现状
计算机网络技术在不断改进,Web应用也在不断地更新换代,各种安全漏洞层出不穷。根据中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD)收集的各种漏洞调查,漏洞的数量随着实践的推移不断地增长,其中跨站脚本攻击、SQL注入攻击两种漏洞较为广泛,而且对网络安全的影响非常大,占据了网络漏洞中的主力,可以说是Web发展史上的里程碑。黑客通过网络站点操作系统的漏洞,将SQL注入系统中,获得服务器的控制权限,然后就可以更改网站中网页的内容,更严重的情况是在其中注入恶意代码,让访问网页的用户受到侵害。所以网络用户非常重视网页安全问题,对整个Web系统的安全也更加关注。基于Web的网络安全问题逐渐由服务器的脚本安全升级为整个浏览器的安全,加强对浏览器安全漏洞的防范是目前互联网行业的重点工作内容[2]。
1.2 基于Web应用的安全认识误区
很多用户认为安装防火墙就可以将所有的网络安全漏洞排除,这种想法是不正确的。随着计算机网络的不断改进,防火墙已经不能满足用户安全上网的需求,不管是应用级的防火墙还是端口级的防火墙,都是对网络层面上的安全防护,并不能有效保证基于Web应用的网络安全问题。防火墙利用设置的端口对访问进行筛选,但是对访问者身份的鉴别有很大的设计漏洞,导致其不能保证Web应用的网络安全。还有很多用户认为入侵检测系统(Intrusion Detection System,IDS)可以让Web应用网络的安全问题得到解决,这种想法也是错误的。IDS通过识别模式进行网络层面的保护,应用原理与防火墙相似,都不能有效防止程序漏洞和用户允许的链接中的漏洞,这种漏洞识别软件都存在一定的弊端,为了满足用户的使用需要不能随意扩大识别范围。程序漏洞是基于Web应用的网络安全漏洞中最常见的,通过扫描计算机的系统来寻找漏洞这一想法是正确的。但是,在扫描以后没有发现安全漏洞,用户就认为可以安全上网,这种想法是非常危险的,实际上计算机的系统漏洞扫描存在一定的弊端,系统扫描工具只能将非常明显的漏洞扫描出来,对于自身存在的漏洞或是一些微小的漏洞都是扫描不出来的,所以漏洞扫描能力受到多种因素的影响而相对较弱[3-4]。
2 常见的基于Web应用的网络安全漏洞形式
2.1 跨站脚本攻击
跨站脚本攻击就是黑客将超文本标记语言代码在不知不觉中加入到Web网页中,用户每次浏览网页的时候,就会触发超级文本标记语言(Hyper Text Markup Language,HTML)代码,进而进行网络攻击。跨站脚本攻击通常被用于盗取机密或用户个人信息,在博客、邮箱、论坛上应用较多。在如今计算机软件的开发中,很多设计人员为了让用户得到更好的体验,在网页中经常会设置动态内容,其大多数是通过客户端的脚本进行设计的,黑客往往抓住一个设计要点,对其脚本实施攻击,就会形成安全漏洞[5]。
2.2 伪造跨站请求
伪造跨站请求的攻击方式与跨脚本攻击不同,是伪造用户盗取网站信息。很多网站在使用的过程中,为了增加用户的浏览量,设计的访问请求比较简单,而攻击者会利用用户的请求授权,在网页中添加非法链接或脚本,进而获得网页管理的权限,盗取网页中的用户信息并对网站造成损害,网页式的攻击方式严重泄露用户的信息,破坏力极强。很多入侵者就是通过浏览器中的银行网页伪造跨站请求,然后骗取管理员的权限,盗取用户的各项信息,对用户的财产造成非常严重的损失。
2.3 SQL注入攻击
SQL注入攻击是一种针对数据库进行攻击的新型计算机网络攻击方式。程序员有很多个人习惯和编程技巧,在编程的过程中难免会有漏洞。网络攻击者正是根据编程者的漏洞,注入SQL,盗取数据库中的用户信息。
2.4 Cookie欺骗漏洞
储存在用户本地终端上的数据(Cookie)技术能给用户提供更加便利的浏览方式,避免用户多次在同一个浏览器中输入密码。按规定,只有同一个域名的Cookie才能被读写。攻击者利用服务器给用户提供Cookie的空档对其进行更改,使服务系统不易察觉,进而对Web应用系统进行入侵并获得控制权限,盗取用户的各种信息数据。Cookie欺骗漏洞包含很多不同方式的入侵,有的直接跳过浏览器对系统的信息数据进行改写,有的修改浏览器,使浏览器能够在本地读取任意域名Cookie,还有的欺骗浏览器,让浏览器获取假域名等,通过各种方式进行Cookie欺骗,以致用户的个人信息和相关数據遭到泄露。
2.5 緩冲区溢出漏洞
缓冲区溢出漏洞是指用户在进行Web系统的应用中,发出一个非常复杂的请求,但是系统却无法对这个请求做出有效处理时出现的漏洞。在用户发出超长请求后,系统会自动进行数据的检测,然后拒绝超长请求。在这个过程中,很多程序设计的数据长度都是与存储空间相匹配的,因而会造成很长的缓冲期,在缓冲期很容易出现安全漏洞。攻击者会在Web操作系统各个指令进入堆栈的时候实施非法授权的指令,进而获得整个系统的控制权限,执行非法操作。缓冲区溢出漏洞的现象非常普遍,很多计算机系统都会遇到这种漏洞。所以,平时加强对系统的管理和更新,避免缓冲期的出现是非常重要的。
3 基于Web应用的网络安全漏洞有效防范措施
出现基于Web应用的网络安全漏洞的原因在于很多黑客利用应用程序中的问题点进行攻击,通过跨站脚本、伪造请求等形式盗取系统中的用户信息,或获得更多的系统权限来谋取个人利益。漏洞对人们的工作和生活有一定的危害,而且不容易被发现,所以在使用Web系统的时候应该注重对系统漏洞的防范,让不法分子没有可乘之机。
3.1 在网络系统出现漏洞前的有效防范
为了有效避免Web网络系统中的漏洞,要定期检测系统,并不断升级检测的程序和功能,优化检测工具,尽量使用并行式的漏洞检测方法进行漏洞检测。对于线上的Web系统也要不断优化,让开发者在系统上线前进行各方面的详细检测,减少漏洞出现的概率。比如,在SQL注入漏洞的防范中,开发人员应该在输入、查询以及权限访问方面进行有效的控制。大部分SQL注入漏洞都是由单引号造成的,攻击者通常在原有的数据中插入单引号进行匹配,然后更改单引号后面的输入,所以开发者应该注重单引号的设计,尽量在用户的数据输入之前进行单引号的匹配,然后对输入的数据进行筛选处理,过滤一些特殊的字符,控制好数据的长度,将不同的输入转变成不同的种类。然后利用参数进行数据查询,查询的前提是系统具有固定的查询结构,利用参数进行预先占位符,用用户输入的数据填满占位符,有效确定查询结构的形式,这样即使攻击者对数据进行破坏,也不能影响查询结构。根据用户的需求合理设计访问权限,对用户的信息保密,管理好整个系统的数据信息。
3.2 在网络系统出现漏洞时的防范
当Web系统出现漏洞时,应该立即启动事先准备好的漏洞防护设备进行有效防范,紧急修复Web系统,避免造成系统的重大损失。在制定应急处理方案时,应该注重考虑一些设计的细节问题,对漏洞问题进行预判,采用最有效的方式进行检测和修复,将系统的损失降到最低。注重增加数据的保护措施,应该采用多层加密的方式保护用户信息,建立自动锁定装置,在Web系统中出现安全漏洞时,及时锁定重要数据,避免攻击者盗取重要信息和篡改资料。
3.3 在网络系统漏洞攻击后的反思
对于Web系统的漏洞问题,应该及时反思,建立信息备份,避免重要数据的丢失,完善数据信息管理的机制,更新现有的信息处理系统。
4 结语
分析基于Web应用的网络安全现状,阐述常见的几种网络安全漏洞,并提出有效防范网络安全漏洞的措施。只有不断升级对Web系统的漏洞检测,并对基于Web的网络系统进行定期优化,在遭到系统入侵时及时修复,加强对用户数据的保护,对网络系统各项信息进行有效的备份处理,才能让基于Web应用的网络安全问题得到妥善处理。希望本研究对相关的网络系统安全维护人员有所裨益,使其加强网络的安全检查,及时修复网页漏洞,努力创建健康安全的上网环境。
[参考文献]
[1]张浩,项朝君,陈海涛,等.计算机网络安全与漏洞扫描技术的应用[J].电子元器件与信息技术,2019(9):35-37.
[2]糜小夫,冯碧楠.计算机网络安全与漏洞扫描技术的应用分析[J].信息通信,2019(2):207-208.
[3]沈文婷,丁宜鹏,郭卫,等.计算机网络安全与漏洞扫描技术的应用研究[J].科技与创新,2018(1):154-155.
[4]王丹,赵文兵,丁治明.Web应用常见注入式安全漏洞检测关键技术综述[J].北京工业大学学报,2016(12):62-72.
[5]文硕,许静,苑立英,等.基于策略推导的访问控制漏洞测试用例生成方法[J].计算机学报,2017(12):2658-2670.
Discovery and research of network security vulnerability based on Web application
Shen Zilei
(Xinyang Agriculture and Forestry University, Xinyang 464000, China)
Abstract:With the increasing popularity of web application systems, more and more network security vulnerabilities have been discovered, which pose a great threat to peoples work and life. Web security vulnerabilities can be divided into two types: web application-based network security vulnerabilities and web platform-based network security vulnerabilities. This paper expounds the current situation of these two kinds of network security vulnerabilities and security misunderstandings, summarizes the common methods of attacking security vulnerabilities, and puts forward effective measures to prevent hackers from attacking vulnerabilities and maintain the security of network systems.
Key words:Web application; network security vulnerability; discovery and research