浅析Web应用系统的安全及防护策略

. 3 2 跨站点脚本
跨站点脚本( 写为 x ss 漏洞在 w e 应用程序 中相 当常 缩 ) b 见 , 它允许恶意用户将 H T M L 代码和客户端脚本植入到 w e b 应用程序的页面或者数据库中, 当有其他问时 , 这些代码就会 被浏 览器 下载执行 如果 用 户的 浏览器 设置 为允 许执 行
时返 回的错误消息都会被利用 在共享环境下 ,攻击者还可以
利用持久性 c o k e w e 缓存内容 浏览历史记录和应用程序 i b 的 自动完成功能窥探他人隐私
. 2 5 H T M L 可从 网页内完全不同的服务器嵌入对象
用户可以从特定 网站请求浏览网页, 只 自 动地从 G o g e l 分析服务器等合法网站下载对象; 广告服务器; 恶意软件下载网
用程序 , 他们的经验也许是开发独立应用程序或企业 w e 应 b 用程序, 这些应用程序没有考虑到在安全缺陷被利用时可能会
出现灾难性后果 W e 应用系统安全问题涉及多方面, 主要可 b
2. 胁 W e 应 用 系统安 全 的主要 原 因 威 b
2 .1 操 作系统 的漏洞
xnter etE冲l e r(I ) F; . x 和 w i n or E e r ndow s操作系统中包含
at ek叫丁 s papert d t anal t e W b applc 石 sec 行 j s t hi de o 卿 h e i on u t ssues and t e m ai r son o t e w b s c 吻 t r t. e W eb aPpIc 七 斗S m a y h ne a f h e eu he T a h i On t a 6
攻击 由于 T cP I 的设计是没有考虑安全 问题的 ,这使得在 / P 网络上传输的数据是没有任何安全防护的 攻击者可以利用系 统漏洞造成系统进程缓冲区溢出, 攻击者可能获得或者提升 自
己在有漏洞的系统上的用户权限来运行任意程序 ,甚至安装和 运行恶意代码, 窃取机密数据
. 2 3 智能手机及可移动的存储设备
. 2 4 显性/开放式代理
被黑客控制的计算机可 以被设 置为代理服务器 , 躲避 U R L 过滤对通信的控制, 进行匿 名 上网或者充当非法网站数
据流的中间人
2.10 利用其他漏洞攻击
w e 应用程序的任何一个漏洞 (包括程序逻辑漏洞 )都可 b
能被攻击者所利用, 甚至应用程序公开发布的信息 发生意外
. 4 3 防止恶意用户的输入
定期查看服务器中的日 f 矛文件, 分析一切可疑事件 志o
在 er do 中出现 r , f g , / i pe , /bi s 等之类记录时 , m g m om b n r / l / n h
. 3 4 攻击会话管理
会话机制是在服务器端保持浏览器与服务器之 间交互状 态的一种解决方案 ,它可以在用户通过身份认证后持续向应用 程序保证其身份的 真实性 w e 攻击通过猜测基于令牌格式知 b 识的会话令牌的内容来获得登录会话的权利 这使得 w e 攻 b
Abs C 0 r t t
W iht e dev l ento net r t ehnol and t e r Pi pr l r 廿 o W eb applc tons,I e m etbas6 W b apPlc 廿 ar f uenUy th e oPm f W f e 0 ( ogy, h a d o i a on f e f i i nt - d e a i ons e h a l a
用服务己经渗透到人们 日常生活的方方面面, 人们在享受便捷 网络服务的同时 ,w e 应用系统所面临的潜在威胁也越来越 b
1 . W eb 发布 系统的漏洞 2
w eb业务常用的发布系统(即 w eb 服务器), 如 1 A paehe 15
等,这些系统存在的安全漏洞,会给入侵者可乘之机
1.3 W eb 应 用程序的漏洞
用程序及其数据, 总体来看 ,w e 攻击采用下面几个通用的技 b 术和手段 3 .1 S O L 注入 一些应用程序通过复制 w e 客户端输入来创建数据库查 b 询 黑客通过构造一些应用程序没有仔细检查和会被拒绝的字
符串, 来获取返回的机密数据
向到其精心打造的恶意站点 ,这个恶意站点看起来还是是非常
很多可以被黑客利用的漏洞 ,特别是在用户经常不及时安装补
丁的情况下 黑客会利用这些漏洞在不经用户同意的情况下 自
动下载恶意软件代码 也称作隐藏式下载
概括为以下四个方面:
1 ., 操作 系统 后 台数据库的安全问题
这里指操作系统和后台数据库的漏洞, 配置不当, 如弱 口 令等等 , 导致黑客 病毒可以利用这些缺陷对 网站进行攻 击
关键词 W e匕 应用;安全;防护;策略
O n t W eb A pPlc ton S yst SeCurt and Pr t t i St t he i i a em i y o ec on r egy a
四口从 阳朋
(T e F7 t H s i l o P公 n Ci 凡j n P 勺 n 3 1 0 h S I O P t f s s i t y l a i a i t 5 )
主要指 w e 应用程序的编写人员 , 在编程的过程中没有 b 考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的 攻击 ,比如 sQ L 注入 跨站脚本攻 击等等
大 ,轻则篡改网页内容,重则窃取重要内部数据 ,更为严重的则
是在网页中植入恶意代码 ,使得网站访间者受到侵害 这也使
得越来越多的用户关注应用层的安全问题 , 对 w e 应用安全 b 的关注度也逐渐升温 如何更清楚地认识 W e 应用系统的安 b 全 ,做好 w e 应用系统的安全防护工作 b
法网页
新的方法获得对未经授权 的 w e 应用程序访 问, 黑客攻 击 b w e 应用程序的一般流程为:首先收集 目 b 标应用程序的相关信
息 一> 了解 目标应 用程序的功能 一> 分析 目标应用程序的运
行机制 一> 分析 目标应用程序的安全机 制及其运作方式 一>
搜寻探查 目标 一> 发现可 利用的漏洞 一> 利用 漏洞展 开攻 击 一> 最终达到攻击 目, 一般而言,黑客攻击目的无非是获取
Teehnology and Study
擎优化中毒是一种很奏效的攻击 , 当 一个恶意链接被发现在 搜索结果中被删除时, 攻击者只需将僵尸 网络简单地重定向 到一个新的,更时髦的关键词上即可 当前这种持续的攻击可
能会出现爆发性增长 , 并有可能导致消费者对搜索结果的信 任危机 , 除非搜索服务提供商及时改变他们的文件和现在的 链接
击能接管会话并可以得到原来的用户帐户信息
服务器有可能有受到一些非法用户的入侵的尝试 对恶意用户 来说,从客户端向您的应用程序发送潜在危险的信息是很容易 的 不要将敏感信息(如隐藏域或 c o k e)存储在可从浏览器 i
访问的位置
. 4 4 安全地访 问数据库
数据库通常具有它们 自己的安全性 安全 w e 应用程序 b 的一个重要方面是设计一种应用程序安全地访问数据库的方 法 使用数据库的内在安全性来限制可以访问数据库资源的人
2 . 可信任知名站点的漏洞 7
垃圾邮件发送者和黑客攻击 w eb 网站屡屡得逞的原因
是 ,人们高度信任知名网站及网站上的其他用户,我们都有这
样的看法 , 大的知名网站是相对安全的 黑客们也知道这一点, 他们会想方设法修改这些网站的网页 ,将用户的浏览器重新导
某种特殊权限 ,或者wk.baidu.com扰应用程序的正常运行 , 或者是破坏应
1. 自身网络的安全状况 4
网站服务器所处的网络安全状况也影响着网站的安全, 比
1. e 应 用 系 统 主 要 安 全 问题 W b
w e 应用系统是 由操作系统和 w e 应用程序组成的 许 b b
如网络中存在的 D o 攻击和其它病毒的攻击等, 也会影响到 s w e 应用系统的正常运行 b
多程序员没有经过安全编码的培训,不知道如何开发安全的应
由于 sM 仰 电子邮件网关会在一定程度上限制可以邮件 的发送,黑客已经不经常在 电 子邮件中发送恶意代码 相反, 电
子邮件中的 H T M L 被用于从 w e 上获取恶意软件代码, 它们 b
通常包含企图偷窃数据的恶意附近或链接, 而用户可能根本不
知道已经向自己网站发送了请求
中的插件也可以 成为窃取系统数据的重要媒介
可信的 由于安全措施的薄弱 , 越来越多的国内合法网站将被
卷入大规模的注入式攻击当中
. 2 8 黑帽搜索引擎优化攻击
搜索引擎优化中毒的恶意攻击 它发生在当黑客攻陷某 个搜索引擎 , 使它们的恶意链接出现在合法的搜索结果的之 前 当用户搜索某个相关条目时,受感染的链接会显示于搜索 结果的顶部,这样就会引发更多的对恶意链接的点击 搜索引
. 3 3 操作 系统命令注入
一些应用程序从 w e 输入来创建操作系统命令, 就像访 b
文件归属 w 职 万组 , 由w e 管理员管理 w W lv 组 对于 w e 乃 b b 的配置文件仅对 w e 管理员有写的权利 b
问 一个文件和显示文件内容 如果输入的字符串没有仔细检查
机制,黑客就可以创建输入来显示未经授权的数据 修改文件 或系统参数
信息安全与技术
20 , . 1 07
19
TeChn 1 gy and Study
技术探讨
有最少实用特权的上下文中运行应用程序, 设置好 w e 服务 b
器上系统文件的权限和属性 ,对可让人访问的文档分配一个公 用的组如 :W W W , 并只分配它只读的权利 把所有的 H T M L
Javasc P 和 V s P , 那么攻击者就可以拥有一定程度的客户 i r t b c t i r 端执行权限 通过 x s 攻击 ,黑客可以篡改网页 劫持会话 实 施钓鱼攻击 ,还可能获得管理员权限以及传播 W e 蠕虫 b
由于智能手机 u 盘 移动硬盘 M p3 M p4 等设备的快速
流行和使用, 智能手机(如 Ipo e 和 A d o d 基本上等同于小 n n ri) 型的个人电脑 , 由于智能手机和可移动设备的安全性差 ,恶意 软件也可以轻易地从外部传输到网络系统中 此外 ,插到 i o Pd
2 . 在邮件 中采用嵌入式 H 丁 L 9 M
pr P se prot n s加t y. o0 d e比o g e
[ Ke洲 or s 1w b applc 七 st m s d e i on;钊 e e a u c
吻 ;pr e C i ot t on;stat y re g
0 .引 言
随着网络技术的发展和 网络普及率的快速提高 ,w e 应 b
Teehn logy and Study
技术探讨
浅析 W e 应用系统的安全及防护策略 b
吴丽娟
(莆田市第一 医院 福建莆 田 3 110 ) 5 0
[ 摘要 随着网络技术的发展,W e匕 应用服务的快速普及, 各种基于I e ne 的W e匕 t n r t 应用系统的攻击事件频发 本文试着分析
W e匕 应用系统主要安全 问题及威胁 W eb 安全的主要原因,提出W e匕 应用系统的防护策略
18 2 0 11 07 W W W . nf sti . rg i o ng o
2 2 互联 网及服务器的漏洞
由 于 存 在 漏 洞 和 服 务 器 管 理 配 置 错 误 ,In em e t t
技术探讨
I而 r don ser er(xl a m v s)和 勺 ache 网络服务器经常被黑客用来
. 3 5 篡改参数或 U R L
w e 应用程序通 常在返回的的 w e 页面中嵌入参数和 b b
站; 或者被重新导向至恶意软件网站
. 3 威 胁 W e 应 用 系统 安 全 的 通 用技 术 b
应用层的应用程序在开发过程 中没有过多考虑到安全的
间题 ,这使得程序本身存在很多漏洞 ,W e 攻击总是不断开发 b
2 6 普通用户对安全状况不 了解
针对客户端应用的攻击已是威胁 目前 w e 应用系统安全 b 的重点, 多数终端用户不了解三种 s L 浏览器检查的原因; 不 了解如何验证所下载程序的合法性; 不了解计算机是否不正常; 在家庭网络内不使用防火墙; 也不知道如何区分钓鱼网页和合