安全技术
13
Web 网站的安全问题及防护策略
◆秦乐阳
1  影响Web 网站安全的因素
web应用防护系统1.1  系统平台易受攻击
如果是利用windows 的操作系统,在微软公司发现漏洞然后发布补丁的过程中,都会存在一个时间差,而在这个时间范围内,网站的数据库安全就有可能受到威胁。一旦某些黑客在发现这些漏洞后,批量攻击许多网站,那些平时疏于管理,并对操作系统的补丁不注意修补的企业就会成为被攻击的目标。而且现在很多政府和企业门户网站平台只注重系统的控件是否丰富,界面是否美观,价格是否便宜,而不注意网站的安全问题,这更是为黑客提供了可乘之机。
1.2  加密算法单一
现在很多政府机关和企业的网站喜欢使用MD5这种算法对数据库进行加密,利用这种算法加密的网站数据库具有很好的加密性,MD5加密算法是一种使用很普遍的非对称加密算法,许多电子钱包、电子现金的业务也使用这种算法,这种算法使用的是哈希函数,利用相关的散列函数输入数据然后进行一定的计算,出现一个固定长度的值,这个值可以在知道密码的条件下被验证,但是无法利用这个值,反推出密码。在原则上,这种方法很难被破译。但是很多企业在设计密码上力求简单,很多时候只是设计一个例如生日密码这种格式相对固定的密码。而黑客只需要进行暴力攻击,不断穷举就可以实现密码的破译。
1.3  验证系统不可靠
政府和企业门户网站的开发为了加强开发的效率,往往会外部给网页设计企业,但是代码一般也会使用之前设计过的,只是显示页面稍作替换,在这种情况下,一旦当初设计的代码,没有全面的进行数据分析和用户输入的判断,就会使系统的安全受到很大的威胁。比如说:无孔不入的SQL 注入攻击。而且由于是代管的,网页设计企业的一个员工可能要负责维护很多个网站,造成力不从心,无法认真注意某个网站被攻击的情况,许多政府机关或者企业在设计网站的过程中就发现有这种问题。
2  Web 网站安全问题
2.1  SQL 注入攻击
SQL 注入攻击的首要条件是服务器端代码自身有漏洞,在服务器和Web 端口相互连接之后,绕开很多防护措施,直接对没有授权的数据进行访问,这就是对数据库后端进行攻击的攻击方式。这种SQL 攻击的方法多种多样,很是灵活,而且攻击的黑客在判断Web 应用程序中出现的问题和漏洞后可以编写多种多样的脚本文件,从而判断那个方法攻击最有效,然后利用那个最有效的进行攻击。最普遍的攻击手法有这么几种,比如post 型注入攻击、get 型注入攻击、cookie 型注入攻击。
2.2  XSS 跨站脚本攻击 跨站点脚本攻击(XSS )是利用恶意的HTML 代码将设计人员疏忽的数据库的语句和变量进行攻击,用户在打开一个恶意代码或链接页面的过程里,将自动执行恶意代码,这样就可以进行攻击。
2.3  WebShell 攻击
利用WebShell 编写一个ASP 、PHP 或者是其他的程序脚本,放在网站中,形成一个网站的后门木马,然后利用这个木马,控制和操作被攻击对象的网站,达到获取数据的目的。
2.4  目录遍历攻击
目录遍历攻击又可以叫做恶意浏览或者是文件泄露,这种攻击指的是发起攻击的人借助系统设计时出现的漏洞,对其用户权限以外的
文件和数据进行访问,这样就会造成数据泄露,严重的可能还会篡改数据。这种攻击的方式主要的危害在这几个方面,首先在整个攻击的时候,入侵者也无法确认自己在存储空间的哪个位置,只能通过测试来查,这个过程中可能造成敏感数据或文件丢失。
3  Web 网站安全问题的防护策略
3.1  采用多种加密方式
利用数据加密的相关技术可以有效地保护web 数据库的安全。但是很多时候密码技术并不完善,无法完全挡住黑客的攻击,或者黑客使用一些饱和攻击等手段,强行获取数据,这严重影响到web 数据库的安全和正常使用。所以要到一些可行性强的解决方案来处理这些问题。比如可以严格控制访问权限,这就需要对访问规则进行严格控制,让很多没有访问权限的非法用户不能很轻松的进入,这有需要对用户密码进行多种方式混合加密。比如,直接将用户名称分成毫不相关的两个分组,接着保存到数据库中,这时就进入了加密防守的阶段。由于AES 等加密算法的加密速度比较快就算是数据库里的数据有所泄漏,入侵人员也需要花费很多的时间来处理用户名的解析问题,这样才能进行下一步攻击网站的行动,这样网站的安全性就能达到一定的保证。
3.2  选择安全的运行平台
在一个开源的Linux 操作系统平台中不管是经过时间考验的角度还是通过市场使用的度来看,都是一个相对安全的平台的首选。在计算机技术的发展过程中,对于安全数据库的需求越来越大,我们不可能去改变网站的结构,如果使用安全性能相对比较好的Linux 系统平台,可以显著提高数据库安全性。
3.3  安全问题针对性防御手段
有三种分别为:SQL 注入防范;XSS 跨站脚本攻击防范;WebShell 攻击防范.
4  结语
web 网站在互联网中成为一个主要的信息发布平台,网站里面的数据库可以存储大量的用作进行交换的信息和数据,所以,在网站的建设和运营过程中要充分重视网站的安全问题、信息的安全问题。网络安全信息和网站运行系统的稳定是息息相关的,而且信息安全是网站运行稳定的一个先决条件,只有信息安全,网站系统的可靠性才能得到保障,网站是在不断发展和运行着的,所以,一次开发完成并非万无一失,需要不断进行改善和维护,利用现有的技术资源,进行最大限度的安全保护。
参考文献:
[1]张文骏.Web 标准化网站安全防护策略研究[J].信息与电脑.2014(08):72-73.
[2]范义山.网站安全防护策略浅谈[J].科技视界.2012(19):182-183+240.
[3]冯永健.计算机网络的安全问题及防护策略[J].计算机光盘软件与应用,2014(24):203-205.
基金项目:信阳师范学院青年科研基金(NO.2012082)
作者简介:
秦乐阳(1982.3-),男,河南信阳人,讲师,学士,主要研究方向:网络安全。
(信阳师范学院网络信息与计算中心  河南  464000)