（河北农业大学，理工学院 河北 沧州 061100）

郝雅倩，刘卫凯，郑 晗，王栋轩（通讯作者）

1 引言

Web技术在商业活动上的使用创造下了举世瞩目的成就。此外Web服务技也普及于日常生活。新兴技术的出现通常是不完善的，伴随Web应用技术出现的是网络黑客的关注。他们寻找应用中的漏洞，趁虚而入，从而操纵Web服务器。通过修改web内容、传播代码等方式攻击用户。伴随着Web技术的兴起与发展，安全问题备受瞩目。

2 Web服务的定义

从非服务端使用者的方向来讲，Web服务是一种基于Web的对象/组件，也就是通过Web来调用API对使用者提供服务。客户用编程的形式通过Web来调用Web service。而Web service则是通过协议来创建分布式应用程序[1]。

3 发展现状

根据调查数据显示，社交网络服务和社交媒体迅速改变了互联网使用的面貌，现在许多支持在线社交互动的公司可以收集大量的社会信息,开发新的服务[2]。

随着人们安全意识的增加，基础防范技术逐渐成熟。于是，黑客将注意力转变到Web应用端上。根据CERT/CC提供的2016年国内互联网网络安全态势分析，2016年主要网络威胁为移动互联网恶意程序和恶意APP、DDOS攻击、程序漏洞以及网站安全等[3]。现阶段，按恶意行为进行分类，黑客利用网络攻击主要实现流氓行为、恶意扣费、资费消耗等。

黑客技术的提升给网络用户带来很大的危害。但是，如今反网络入侵技术的研究也越来越多。并且，国家近些年设定的安全方面的法律日益完善。

4 常用攻击手段及防御手段

4.1 XSS跨站攻击

XSS又称CSS（Cross Site Script，跨站脚本攻击），是指攻击者将特殊HTML代码放入指定Web页面内，当使用者点击该网页进行阅读时，恶意代码自动执行，以此来攻击用户[4]。

XSS攻击属于被动方式。攻击者需要先构建一个具有跨站的网页，或者是一个电子邮件。一旦用户点击链接，则触发对被攻击站点的页面请求。攻击者的请求将被送往有漏洞的网站服务器，方便攻击者偷取登录信息、cookies或其他的数据。

XSS主要分为三类，分别为反射型、存储型和DOM型[5]。

针对XSS，一般可以采用以下方法进行防护：

（1）HttpOnly

HttpOnly是指在cookie中设置HttpOnly属性，通过JavaScript脚本将无法读取到cookie信息。严格来讲，它不是直接对抗XSS的手段，而是XSS发生后防止用户Cookie被劫持[6]。并不是所有的浏览器都支持此操作。

（2）输入规范

规范用户输入的格式。例如，用户在登录网站时填写用户名、密码，要求只能输入一定长度的字母和数字组合。这样可以在一定程度上让一些特殊字符的攻击失效。

（3）输出过滤

输出过滤是指用户的变量输出到HTML页面时，把其中敏感的字符转成别的编码字符，达到过滤的目的。

4.2 SQL注入

SQL注入攻击就是攻击者向Query中输入部分SQL语句，将本不应存在的数据导入到程序中，非法操作数据库或网站，从而窃取信息。

在许多Web网站的操作系统中，当变量处理不当或筛选数据不足时，有几率触发SQL注入漏洞。根据网站所使用的Web脚本不同，SQL注入攻击可分为ASP、PHP、JSP、ASPX注入等多种注入方式[7]。SQL注入攻击不仅仅局限于SQL Server数据库中，后台使用Access、MYSQL等数据库的网站等都可能存在漏洞。

预防SQL注入的方法主要有：

（1）SQL语句预编译

避免SQL注入的最优方法是SQL语句预编译和绑定变量[8]。SQL语句内需要的参数提前编译，无论用户输入任何参数都不会造成语句本身的结构变化。

（2）输入规范化

对表中数据进行类型限制，这样会在很大程度上减少攻击。

4.3 DDoS攻击

DDoS攻击 (Distributed Denial of Service，分布式拒绝服务攻击)，是指黑客通过一些手段在大量主机上安装预先设计好的DDoS攻击控制程序，通过攻击程序对主机进行一系列的恶意操作[9]。DDoS攻击合法申请大量网络资源，从而造成网络瘫痪。

针对DDoS，一般可以采用以下方法进行防护：

（1）增加带宽

将流量分散到多个服务器上，进行均衡，避免大流量长时间占用服务器。

（2）锁定DNS服务器

确保DNS服务器以及网站和其他资源都处于负载均衡的保护状态下，也可以使用专业公司提供的冗余DNS。

（3）配置网络层

确保路由器能够屏蔽垃圾数据包，剔除不用的协议，并且设置好防火墙。此外，可以让供应商进行边界网络的设置，保证能够得到一个最大的最通畅的带宽。

5 结语

在如今网络技术飞速发展的现况下，各种攻击手段。网络黑客利用系统在不同层面的漏洞窃取用户私人信息，严重损害用户权益。我们只有了解各种攻击手段的原理才能在根本上消除网络攻击带来的危害。虽然，现如今的防御技术在不断提升，但是仍有很多不足，需要进一步的改进与提高，为网络用户提供安全可靠的网络环境。

[1] 杨涛,刘锦德.Web Services技术综述——一种面向服务的分布式计算模式[J].计算机应用,2004(08):1-4.

[2] Sihyun Jeong,Jaehoon Lee,Junhyun Park,Chong-kwon Kim.The Social Relation Key: A new paradigm for security[J].Information Systems. 2017,71

[3] 国家计算机网络应急技术处理协调中心。2016 年我国互联网网络安全态势综述[R]。2017 年 4 月

[4] 日昇月恒, XSS的原理与分类[EB/OL], (2015-07-01)[2017-01-09],http://blog.csdn.net/hitwangpeng/article/details/46928175.

[5] 古开元,周安民.跨站脚本攻击原理与防范[J].网络安全技术与应用,2005(12):19-21.

[6] 谭彬,杨明,梁业裕,宁建创.Web安全漏洞研究和防范[J].通信技术,2017,50(04):795-802.

[7] 刘岳,盛杰,尹成语.WEB应用中SQL注入攻击与防御策略研究[J].网络安全技术与应用,2017(04):109-111.

[8] 陈业雄. 面向AJAX架构Web服务的攻击和防御[D].电子科技大学,2008

[9] 王希斌,廉龙颖,高辉,郎春玲.网络安全实验中DDoS攻击实验的实现[J].实验科学与技术,2016,14(01):68-71.