Web安全淺析

賈思超

摘 要：本文論述了在當前的網(wǎng)絡環(huán)境中，網(wǎng)站安全所處的一個安全位置，著重介紹了網(wǎng)站所面臨的一些威脅和對消滅威脅的一些手段。

關(guān)鍵詞：web；網(wǎng)站；安全

1、web安全的興起

Web是互聯(lián)網(wǎng)的核心，也是未來云計算和移動互聯(lián)網(wǎng)的最佳載體，因此web安全也是公司安全業(yè)務中最重要的組成部分。因為web安全的重要性，所以web也是黑客攻擊的主要所在。Web的攻擊技術(shù)的發(fā)展也可以分為幾個階段。期初人們更多的是關(guān)注服務器端的動態(tài)腳本的安全問題，比如將一個可執(zhí)行腳本上傳到服務器上，從而獲得權(quán)限。緊接著就是SQL注入攻擊的出現(xiàn)，這種攻擊可以說是web安全史上的一個里程碑，通過SQL注入攻擊，可以獲取很多重要的資料、敏感數(shù)據(jù)，甚至能夠通過數(shù)據(jù)庫獲取系統(tǒng)的訪問權(quán)限，所以web攻擊一下子就流行了起來。

2、Web攻擊手段

目前主流的web攻擊手段比較多，比如網(wǎng)絡蠕蟲攻擊、跨站腳本攻擊、掛馬攻擊、cookie攻擊、拒絕服務攻擊、釣魚攻擊、SQL注入攻擊，其中大多數(shù)的攻擊核心就是web服務器存在漏洞。主要的一個流程，并且是最常用的一個流程就是通過攻擊web應用，間接的攻擊web平臺，然后通過提權(quán)的方式獲取最高權(quán)限，達到最終攻擊數(shù)據(jù)庫的目的，提取有用的數(shù)據(jù)。

圖1：web攻擊圖

2.1 SQL注入攻擊

這種攻擊手段是攻擊者經(jīng)常利用的手段之一，在網(wǎng)站和應用程序編寫的時候，很多程序員因為沒有考慮到安全問題，對程序語言的語法沒有經(jīng)過細心的審核，使得代碼存在風險，這就給攻擊者留下了攻擊的途徑，攻擊者首先通過自己提供的一些數(shù)據(jù)來判斷是否可以進行SQL注入攻擊，發(fā)現(xiàn)了web服務器存在的漏洞以后，進行注入攻擊，然后提權(quán)，最終掌控數(shù)據(jù)庫。

2.2其他攻擊手段

除了以上攻擊手段以外，還有很多攻擊方法，比如跨站攻擊（XSS攻擊），攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。網(wǎng)站掛馬，導致用戶形象被破壞：攻擊者通過在正常的頁面中（通常是網(wǎng)站的主頁）插入一段代碼，上網(wǎng)者在打開該頁面的時候，這段代碼被執(zhí)行，然后下載并運行某木馬的服務器端程序，進而控制上網(wǎng)者的主機。等一些攻擊方法。

3、Web安全防護手段

Web攻擊的核心就是網(wǎng)站存在漏洞，因此圍繞這個核心，web安全防護可以分為三個階段，首先就是攻擊發(fā)生之前，對網(wǎng)站存在的漏洞進行掃描并且進行解決。其次就是在web攻擊發(fā)生的時候能夠及時的阻斷攻擊行為，保證網(wǎng)站的安全。最后就是在攻擊行為發(fā)生了以后，保證內(nèi)部數(shù)據(jù)的安全，確保不會因為攻擊行為而造成數(shù)據(jù)的泄露。

3.1攻擊發(fā)生前

在攻擊沒有發(fā)生的時候，可以通過一系列的手段減少web服務器存在的漏洞數(shù)，比如在網(wǎng)站建設前期，使用安全的代碼編寫方式，就可以減少漏洞存在的數(shù)量，如果web服務器已經(jīng)上線，那么可以通過一些安全的掃描產(chǎn)品，對web服務器進行安全掃描，主動的發(fā)現(xiàn)web存在的漏洞情況，然后根據(jù)掃描結(jié)果對存在的漏洞進行修復，達到減少漏洞的目的。

3.2攻擊發(fā)生時

在整個安全防護過程中，攻擊發(fā)生前的防護行為，是從根本上解決web攻擊，但是實際情況下，漏洞是沒有辦法做到百分之百的修復的，因此攻擊正在發(fā)生的時候，采取在線防護的手段是必不可少的web防護。

在攻擊發(fā)生的時候，通過部署專業(yè)的web防護安全設備，來進行web服務器的在線防護，首先在網(wǎng)站出口處，可以通過抗拒絕服務設備，來進行DDoS攻擊的防護，確保web服務器不會受到DDoS、DoS攻擊，確保網(wǎng)站能夠持續(xù)運行，而且避免網(wǎng)絡出口的堵塞。其次在web服務器前端部署專業(yè)的web防護產(chǎn)品，對web服務器進行專業(yè)的防護，實時過濾HTTP請求中混雜的網(wǎng)頁攻擊流量（如SQL注入、XSS等），保證網(wǎng)頁處于健康狀態(tài)，避免網(wǎng)頁篡改、網(wǎng)頁存在釣魚鏈接、網(wǎng)頁被掛馬等現(xiàn)象。

3.3攻擊發(fā)生后

攻擊發(fā)生后，能夠采取一定的措施，保證即使攻擊者攻入到內(nèi)部網(wǎng)絡，也無法對重要的數(shù)據(jù)和敏感信息進行操作和盜取，比如一些非法下載的限制，webshell的防護，敏感數(shù)據(jù)的過濾等，通過一整套的攻擊前、攻擊時、攻擊后的防護手段，可以確保網(wǎng)站的安全性提高很大的空間，有效減少因為web遭受攻擊而帶來的巨大損失。

4、總結(jié)

就目前的web安全防護現(xiàn)在而言，已經(jīng)初步進行了web安全的規(guī)劃，但是安全是一個長期的過程，需要與時俱進，掌握最新的安全防護方法，及時進行web安全的防護，才能有效的保證web服務的安全性。

對于web的安全，除了一些防護手段以外，一個良好的運維習慣和工作習慣也很重要，在平常內(nèi)部辦公的時候，注意安全操作習慣，在運維web服務器的時候，養(yǎng)成良好的配置習慣，都可以保證web的安全性。

參考文獻：

[1]吳翰清.白帽子講web安全[M].北京：中國電力出版社，2003

[2]陳建平.Web前端黑客技術(shù)揭秘[M].電子工業(yè)出版社，2013.1

[3]丁建偉.網(wǎng)站入侵與腳本攻防修煉[M].肖遙出版社，2008.2