1、Web安全浅析 摘 要:本文论述了在当前的网络环境中,网站安全所处的一个安全位置,着重介绍了网站所面临的一些威胁和对消灭威胁的一些手段。 下载 关键词: web;网站;安全 1、 web 安全的兴起 Web 是互联网的核心,也是未来云计算和移动互联网的最佳载体,因此web 安全也是公司安全业务中最重要的组成部分。因为 web 安全的重要性,所以 web 也是黑客攻击的主要所在。 Web 的攻击技术的发展也可以分为几个阶段。期初人们更多的是关注服务器端的动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限。紧接着就是 SQL注入攻击的出现,这种攻击可以说是 web安全史上的一个里
2、程碑,通过 SQL注入攻击,可以获取很多重要的资料、敏感数据,甚至能够通过数据库获取系统的访问权限,所以 web 攻击一下子就流行了 起来。 2、 Web 攻击手段 目前主流的 web 攻击手段比较多,比如网络蠕虫攻击、跨站脚本攻击、挂马攻击、 cookie攻击、拒绝服务攻击、钓鱼攻击、 SQL注入攻击,其中大多数的攻击核心就是 web服务器存在漏洞。主要的一个流程,并且是最常用的一个流程就是通过攻击 web应用,间接的攻击 web平台,然后通过提权的方式获取最高权限,达到最终攻击数据库的目的,提取有用的数据。 图 1: web 攻击图 2.1 SQL 注入攻击 这种攻击手段是攻击者经常利用的
3、手段之一,在网站和应用 程序编写的时候,很多程序员因为没有考虑到安全问题,对程序语言的语法没有经过细心的审核,使得代码存在风险,这就给攻击者留下了攻击的途径,攻击者首先通过自己提供的一些数据来判断是否可以进行 SQL注入攻击,发现了web 服务器存在的漏洞以后,进行注入攻击,然后提权,最终掌控数据库。 2.2 其他攻击手段 除了以上攻击手段以外,还有很多攻击方法,比如跨站攻击( XSS 攻击),攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的 HTML 代码,从而盗取用户资料、利用用户身份进行某 种动作或者对访问者进行病毒侵害的一种攻击方式。网站挂马,导致用户形象
4、被破坏:攻击者通过在正常的页面中(通常是网站的主页)插入一段代码,上网者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制上网者的主机。等一些攻击方法。 3、 Web 安全防护手段 Web攻击的核心就是网站存在漏洞,因此围绕这个核心, web安全防护可以分为三个阶段,首先就是攻击发生之前,对网站存在的漏洞进行扫描并且进行解决。其次就是在 web攻击发生的时候能够及时的阻断攻击行为,保证网站的安全。最 后就是在攻击行为发生了以后,保证内部数据的安全,确保不会因为攻击行为而造成数据的泄露。 3.1 攻击发生前 在攻击没有发生的时候,可以通过一系列的手段减少 web 服
5、务器存在的漏洞数,比如在网站建设前期,使用安全的代码编写方式,就可以减少漏洞存在的数量,如果 web服务器已经上线,那么可以通过一些安全的扫描产品,对 web服务器进行安全扫描,主动的发现 web存在的漏洞情况,然后根据扫描结果对存在的漏洞进行修复,达到减少漏洞的目的。 3.2 攻击发生时 在整个安全防护过程中,攻击发 生前的防护行为,是从根本上解决 web攻击,但是实际情况下,漏洞是没有办法做到百分之百的修复的,因此攻击正在发生的时候,采取在线防护的手段是必不可少的 web 防护。 在攻击发生的时候,通过部署专业的 web 防护安全设备,来进行 web 服务器的在线防护,首先在网站出口处,可
6、以通过抗拒绝服务设备,来进行DDoS攻击的防护,确保 web服务器不会受到 DDoS、 DoS攻击,确保网站能够持续运行,而且避免网络出口的堵塞。其次在 web 服务器前端部署专业的web防护产品,对 web服务器进行专业的防护,实时过滤 HTTP请求 中混杂的网页攻击流量(如 SQL 注入、 XSS 等),保证网页处于健康状态,避免网页篡改、网页存在钓鱼链接、网页被挂马等现象。 3.3 攻击发生后 攻击发生后,能够采取一定的措施,保证即使攻击者攻入到内部网络,也无法对重要的数据和敏感信息进行操作和盗取,比如一些非法下载的限制, webshell 的防护,敏感数据的过滤等,通过一整套的攻击前、
7、攻击时、攻击后的防护手段,可以确保网站的安全性提高很大的空间,有效减少因为 web 遭受攻击而带来的巨大损失。 4、总结 就目前的 web 安全防护 现在而言,已经初步进行了 web 安全的规划,但是安全是一个长期的过程,需要与时俱进,掌握最新的安全防护方法,及时进行 web 安全的防护,才能有效的保证 web 服务的安全性。 对于 web 的安全,除了一些防护手段以外,一个良好的运维习惯和工作习惯也很重要,在平常内部办公的时候,注意安全操作习惯,在运维 web服务器的时候,养成良好的配置习惯,都可以保证 web 的安全性。 参考文献: 吴翰清 .白帽子讲 web 安全 M.北京:中国电力出版社, 2003 陈建平 .Web 前端黑客技术揭秘 M.电子工业出版社, 2013.1 丁建伟 .网站入侵与脚本攻防修炼 M.肖遥出版社, 2008.2
