浅谈WEB应用安全问题及防范
摘要:随着web应用技术的发展,越来越多的企业或学校使用web 应用来进行企业或学校信息开放性管理,使机构管理信息暴露在越来越多的威胁中。由于web应用具有一定的运行特点,传统防火墙对于其存在的安全问题缺少针对性和有效性,新的防护工具——web应用防火墙应运而生。
关键词:web应用开放性安全问题 web防火墙
随着信息资源逐渐向数据高度集中的模式,web成为一种普适平台,web应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。web应用提供了丰富的开放资源和高效率的新工作方式,但它的开放性、易用性和易开发性同样也使web应用的安全问题日益突出,已成为了网络安全核心问题之一。
1 web应用的工作原理和特点
web应用程序首先是“应用程序”,和用标准的程序语言,如c、c++等编写出来的程序没有什么本质上的不同。然而web应用程序又有自己独特的地方,就是它是基于web的,而不是采用传统方法运行的。
目前广泛使用的web应用程序一般是b/s模式,使用标准的三层架构模型:第一层是客户端;使用动态web内容技术的部分属于中间层;数据库是第三层。在b/s模式中,客户端运行浏览器软件。浏览器以超文本形式向web服务器提出访问数据库的要求,web服务器接受客户端请求后,将这个请求转化为sql 语法,并交给数据
库服务器,数据库服务器得到请求后,验证其合法性,并进行数据处理,然后将处理后的结果返回给web服务器,web服务器再一次将得到的所有结果进行转化,变成html文档形式,转发给客户端浏览器以友好的web页面形式显示出来。
因此,web应用具有以下特点:
1.1 易用性
web应用所基于的web浏览器的界面都很相似,对于无用户交互功能的页面,用户接触的界面都是一致的,因此web应用的操作简单易上手。
1.2 开放性
在web应用的b/s模式下,除了内部人员可以访问,外部的用户亦可通过通用的浏览器进行访问,并且不受浏览器的限制。
1.3 易扩展性
由于web的平台无关性,b/s模式结构可以任意扩展,可以从一台服务器、几个用户的工作组级扩展成为拥有成千上万用户的大型系统。
2 web应用主要安全问题
由于web应用的特点,其受到的网络安全问题也与日俱增,根据统计,主要的安全问题有以下几种:
2.1 web平台软件的不安全性
web平台软件包括web应用使用的操作系统、http底层服务器软件和第三方应用程序等,这些软件配置中往往存在很多安全问题,
攻击者使用扫描工具检测到漏洞并加以利用,导致后端系统的攻陷,包括数据库和企业内部网络。
2.2 拒绝服务攻击
因为ip地址不能作为请求来源的判断依据,没有可靠的办法判断出一个http请求从哪里来,难以过滤恶意的访问,所以很容易受到拒绝服务攻击,攻击者发送多个类似请求,使数据库链接池消耗,导致合法用户不能使用服务,也就是拒绝服务攻击。
2.3 sql注入
sql注入,是指通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。主要是针对web应用在数据被输入程序前忽略对数据合法性的检验这样一个常见的编程漏洞,以此操纵sql代码来套取用户的用户名、密码等信息,或对后台数据进行窃取和破坏。
2.4 跨站脚本攻击
跨站脚本,是指一种迫使web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供,最终为用户浏览器加载。不同于大多数攻击(一般攻击只设计攻击者和受害者),跨站脚本设计到三方,即攻击者、客户端与网站。主要是针对web应用服务器端的通用网关接口(cgi)程序没有对用户提交的变量中的html代码进行有效的过滤或转换并允许往web页面插入html代码这样一个漏洞,从而盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。