[摘要]分析Web应用安全的现状以及其重要性,同时分析Web应用所面临的主要威胁和攻击,包括Web平台软件漏洞、Web认证和授权威胁、非法输入和参数篡改漏洞、Web应用管理漏洞等,并提出相应的解决方案。最后,通过Web应用安全生命周期体系从软件工程的角度来研究Web应用的安全及解决方案。
中图分类号:TP393文献标识码:A文章编号:1671-7597-02
当今世界,已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。然而,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上
保证Web应用本身的安全,给黑客以可乘之机,安全风险达到了前所未有的高度。
一个典型的Web应用通常是标准的三层架构模型:第一层是客户端;使用动态Web内容技术的部分属于中间层;数据库是第三层。在企业Web应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到企业Web服务器的传输安全,通信层通常会使用SSL(安全套接层)技术加密数据;企业会使用防火墙和IDS(入侵诊断系统)/IPS(入侵防御系统)来保证仅允许特定的访问。
但是,即便有防病毒保护、防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,同时,Web应用是由软件构成的,那么,它一定会包含bugs,这些bugs就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。只要访问可以顺利通过企业的防火墙,Web应用就毫无保留地呈现在用户面前。只有加强Web应用自身的安全,才是真正的Web应用安全解决之道。
Web平台软件漏洞包括Web应用使用的操作系统、HTTP底层服务器软件(如IIS或Apache)和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置,包含有不安全的默认设置或管理员没有进行安全配置的应用程序。
Web认证包括用户名和口令认证、基于令牌和证书的认证以及认证服务。攻击者可以通过用户名枚举、密码猜测和窃听等手段来获取用户名和密码;攻击者还可以通过SQL注入绕过论证,也可以窃取用户的Cookie并访问用户的帐户,而不必输入ID和口令或进行其他认证。
采用高强度的证书,例如数字证书。证书认证使用公开密钥系统和数字证书来认证用户。证书认证还可以和其他基于密码的认证机制一起使用
确保认证安全令牌,如Session ID和Cookie等不会被轻易窃取。
授权可以确定经过认证的用户可以访问应用程序的哪些部分,以及他们在应用程序中可执行哪些操作。攻击者通过爬行访问控制列表(ACL)以及分析会话(Session)和Cookie中保存的信息来得到非法的授权。
在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞,它导致SQL注入和数据存储攻击、脚本攻击(包括跨站点脚本攻击)和缓冲区溢出等。
注入漏洞,特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验
跨站点脚本(XSS)攻击利用网页及Cookies漏洞,攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
