◆马颜军

（辽宁警察学院公安信息系 辽宁 116036）

Web的安全威胁与安全防护

◆马颜军

（辽宁警察学院公安信息系 辽宁 116036）

随着互联网技术的发展，Web应用渗入到每个人的日常生活中，Web的安全形势也日益严峻。本文阐述了当前Web所面临的安全威胁，从操作系统漏洞威胁、应用软件漏洞威胁两个方面进行了分析，并对常见Web安全威胁提出了相应的安全防护建议。

Web安全；安全威胁；安全防护

0 引言

近年来，随着移动互联网的快速发展，使得企业的业务需求越来越多。基于Web的应用程序大量开发，如网上购物平台、互联网购票系统，网上银行，网络邮箱，网络游戏等等。

当前互联网中最重要的资源程序和数据几乎都与Web服务有关，伴随Web广泛应用，Web应用程序和数据已经成为黑客攻击的头号目标[1]。针对 Web的攻击与破坏事件层出不穷，给人们的生活和经济造成严重威胁，Web安全问题已引起人们的极大重视。

Web是互联网的核心，是云计算和移动互联网的最佳载体，所以确保Web安全尤为重要。本文对Web相关应用的安全威胁进行了分析，并以相关漏洞为例，提出了相应的防护措施。

1 Web的安全威胁

Web安全威胁种类繁多，主要有针对操作系统的安全威胁，针对数据库的安全威胁，还有针对Web应用程序的安全威胁。常见的几种Web安全威胁有基于操作系统本身的计算机病毒、后门程序等，还有以Web应用程序进行攻击的SQL注入攻击、XSS攻击、文件上传漏洞、网页木马等安全威胁。

1.1 操作系统漏洞威胁

后门程序、计算机病毒是对操作系统安全威胁最为常见的威胁。

（1）后门程序

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。攻击者往往就是利用程序员在编写软件留有后门的习惯，运用特殊手段找到后门程序的接口，从而使系统面临安全威胁。

后门能够相互关联，黑客经常会对系统的配置文件进行修改提高权限或安装木马程序，使系统打开一个安全漏洞，便于黑客完全掌握系统。

后门有很多不同的分类方式，从技术角度可以将后门程序分为网页后门、扩展后门、C/S后门、账号后门等。

（2）计算机病毒

根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒具有隐蔽性，破坏性，潜伏性，传染性等特征。计算机病毒其实就是一段程序或代码。大多数计算机病毒能够进行自我复制，通过自我的不断复制来影响计算机系统的稳定性并可以通过病毒感染计算机窃取用户大量隐私信息。

常见的计算机病毒有：CIH 病毒、蠕虫病毒、QQ传送者、特洛伊木马、脚本病毒等。脚本病毒是一种常见的攻击Web的一种病毒，主要采用脚本语言编写，它可以对系统进行操作，包括创建、修改、删除甚至格式化硬盘。脚本病毒编写形式灵活，容易产生变种，使得传统的特征提取方式对其进行检测率较低，对未知的脚本病毒无法识别[2]。

1.2 应用软件的漏洞

Web应用程序一般都会采用B/S（Browser浏览器端/Server服务器端）模式，其由多个Servlet、JSP页面、HTML文件以及图像文件等组成。浏览器是客户端用户用来与服务器交互的重要应用程序，主要实现向 Web 服务器发送请求，并对 Web 服务器发送来的超文本信息和数据进行解析和显示。浏览器初期只提供HTML 静态页面的解析显示，随着脚本和插件技术的发展，为提高用户体验，网站中包含大量的动态内容。这些功能丰富了Web页面的显示，但也带来了新的安全问题。

（1）XSS攻击

XSS英文全称是Cross Site Script，也称跨站脚本攻击，为了和层叠样式表区别开来，在安全领域称其为XSS。XSS攻击通常指攻击者是用HTML注入技术向网页插入恶意脚本，篡改网页，当用户浏览已经插入恶意脚本的网页时，恶意脚本就会被执行，从而攻击者可以利用网站漏洞盗取用户信息。

XSS攻击的主要目的之一是获取授权用户的Cookie 信息，由于XSS攻击破坏力强，产生的场景也比较复杂，XSS攻击长期以来一直被列为客户端Web安全的头号威胁。XSS攻击通常有两种方式[3，4]：

持久性攻击：攻击者将恶意代码存储在与Web应用程序交互的数据库中，当用户访问请求动态页面时，Web应用程序从数据库中返回恶意的Javascript代码给用户。用户浏览器执行该脚本后，将用户的Cookie发送给攻击者控制的服务器。

反射攻击：这种方式下，攻击的脚本没有存储在服务器端，而是在攻击过程中反射给用户。它通过给别人发送带有恶意脚本代码参数的统一资源定位符（URL，Uniform Resource Locator），当URL地址被打开时，特有的恶意代码参数被HTML解析执行。其攻击特点是非持久化，必须用户点击带有特定参数的链接才能引起。

（2）SQL注入攻击

SQL注入攻击利用服务器端代码自身存在的漏洞进行攻击，攻击的目标通过Web客户端代码对Web服务器连接的数据库后端进行攻击。通过这种方式攻击者往往可以逃避现存的大部分安全防护机制，而直接通过窃取的权限达到对非授权数据非法访问的目的[1]。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL攻击方法有很多，攻击者可以根据数据库的类型和漏洞来针对性地选择攻击方法。SQL注入攻击一般步骤：①发现SQL注入点；②构造注入语句判断后台数据库类型；③猜解数据库，获得管理员权限；④确定Web虚拟目录，上传木马控制整个网站。

2 Web的安全防护策略

用户在了解Web安全威胁方面的知识后，采取必要的防御措施，在很大程度上可以杜绝Web安全事件的发生。以下介绍几种防御措施。

（1）做好操作系统安全防护，使用正版的操作系统，并及时更新系统补丁；最小化原则，用户根据需要，设置合理的权限，尽量开放最少的服务；安装应用软件时，注意辨别软件需要调用的权限，不要轻易提升权限。

（2）数据库安全防护，使用密文存储数据库中的数据，定期检查数据库是否存在漏洞，设置安全管理账户，定期对重要的数据进行备份。

（3）跨站脚本防范，将要置于HTML上下文的所有的不可信数据进行相应的转义；验证所有输入数据，有效检测攻击；对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行；在浏览器设置中关闭JavaScript，并将安全级别设置到“高”。

（4）SQL注入防护，使用参数化的过滤性语句，用户的输入不能直接被嵌入到SQL语句中；检查数据类型，对数据库表中数据进行数据类型限制，这样会在很大程度上减少攻击。

（5）加强Web服务器的安全设置。正确使用Web服务器的安全设置策略，能够有效减少服务器的安全隐患，确保Web服务器安全。一般可以从用户名和密码的安全设置、BIOS的安全设置、使用SSL通信协议、隐藏系统信息、启用日志记录功能以及设置Web服务器有关目录的权限等。

（6）安装知名度高的安全产品，并及时更新。选择一款专业的安全软件，可检测出系统存在的安全隐患，有效抵御Web安全威胁。如天融信安全管理平台TopAnalyzer远程监测服务，可以实现网站安全挂马监控、网站安全漏洞监控、网站安全内容监、网站安全状态监控等功能。

3 结束语

当前，随着网络技术的不断发展，人们生活越来越离不开网络，在享受互联网带来便捷的同时也面临着许多Web安全威胁。本文从后门程序、计算机病毒、XSS攻击、SQL注入攻击等方面对Web安全进行了简要分析，并给出了应对的防护措施，希望能对不同的用户提供参考。

[1]龙兴刚．Web应用的安全现状与防护技术研究[J]．通信技术，2013．

[2]王继林，苏万力．信息安全导论（第二版）．西安电子科技大学出版社，2015．

[3]吴翰清．白帽子讲 Web 安全[M]．北京：电子工业出版社，2012．

[4]罗云庚．浏览器安全技术研究[J]．计算机与现代化，2004．