Web漏洞及安全性探析

Ｗｅｂ　漏洞及安全性探析

◆ 李 源

摘要：Web技术在网络上得到了广泛的推广应用，但也使Web网站时常受到各种非法入侵。论文针对Web应用攻击以及常见的漏洞进行了深入的分析，并介绍了查找和防范漏洞的快捷方法，对Web应用漏洞如何实现防御展开了探讨。

关键词：Web应用漏洞；攻击；安全性；解决方案

一、 Web应用攻击以及常见的漏洞

（一）信息泄露漏洞。信息泄露的漏洞出现是由于Web服务器或者其它的应用程序没有以正确的方式解决外界要求的特殊申请，引起Web服务器上一些敏感的信息产生泄露，比如服务器的配置信息、用户名、登陆密码以及源代码等。

（二）目录遍历漏洞。Web目录遍历漏洞是利用URL中或者具有特殊意义的目录内具有“../、..\\”等特殊字符的变形，使非法入违者可以自由访问没有经过授权的目录，在Web服务器根目录以外的区域内执行命令。

（三）文件包含漏洞。文件包含漏洞是非法入侵者对Web服务器提高访问申请时，在URL内增加非法参数，因为对变量没有进地严格的过滤，会把非法的文件名称当作参数进行处理，该种漏洞大多存在利用PHP开发的Web应用程序当中[1]。

（四）结构化查询语言产生的漏洞。SQL也就是Structured Query Language，该语言导致的注入漏洞在于Web应用程序无法对用户输入数据信息进行识别，非法入侵者应用Web页面文件输入区域，比如说，URL和表单，采用程序执行性好的SQL语句来编辑生成特殊字符以及指令，与数据库进行信息交流可以得到数据库内部的保密信息。

二、查找和防范漏洞的快捷方法

（一） 把握系统流程。系统流程也就是把系统如何进行执行，大多采用开头-中间-结尾的方式，中间阶段是需要引起人们重视部位，开头大多会输出HTML内的—中的内容，文件开头会有多种头文件。关注的重心应该放到数据库连接文件、函数功能库以及配置文件中，尤其要对函数库内输和过滤函数进行系统的掌握。结尾部位会生成系统版权方面的信息，利用SQL可以对其进行查询。

（二）重点关注输入变量。无论采用GET、POST，或者COOKIE的方式，从用户端提交的变量都可指定。变量可以由程序直接进行控制，如果没有外来输入变量就无法完成注入，系统获取到变量后如何进行过滤是另外的事情。在输入变量时应该注意可以参加SQL的可执行变量是什么，有的变量，例如，actiong或page都是用于控制流程的，不需要对其过多的关注。

三、 Web应用漏洞防御实现

（一）对Web应用开发者。很多Web应用程序中比较常

76

信息系统工程 │ 2019.1.20

见的漏洞，是程序设计人员对Web应用程序进行设计时， 没有对用户提供的参数进行有效的检测导致的。所以，Web设计开发人员应该建立起安全观念，在设计时尽量编写安全性高的程序代码，可以有效避免很多Web在应用过程中的安全问题。对于用户提出来的URL、关键词的查找、HTTP头和POST数据需要经过严格的检测，必要时需要进行限制访问，只允许规定长度范围内的、格式编写正确的字符。坚决过滤、阻止任何非法字符[2]。

（二）对Web网站管理员。对网站进行维护管理的工作人员，应该及时了解并安装官方网站是否有发布的支持Web网站安全运行的软件及补丁，保证非法入侵者利用漏洞无法进行有效的攻击。不但要关注软件固有的漏洞，对于Web服务器、数据库等如果没有进行科学合理的配置，也有可能会受到安全攻击。Web网站的管理维护人员应该对网站正常运行所需要的各类软件进行仔细的检查，尽量减少安全问题的出现。

（三）使用网络防攻击充备。网络安全方面的构建是一项系统工程，不能单方面依靠安排部署来处理好各类安全问题，应该和终端系统、网络、应用程序、操作系统，数据管理等多个方面实现相互间的配合。

四、结语

Web应用漏洞容易遭受到不法分子的攻击主是由于在开发过程中程序编写的不严谨导致的，所以，攻击者就可以利用伪装成合法的方式来进行安全攻击，如果只依靠单纯的过滤算法和进行状态检测的办法来对应用层实现安全攻击的防范，是得不到什么效果的。网站运行管理维护人员和程序开发人员应该提高安全防范意识，明白产生攻击的基本原理，尽量避免由于程序开发过程中产生的漏洞，提升网络系统安全防范功能。应该从网络的整体安全策略方面进行分析，把程序开发时存在的应用层攻击漏洞进行全面的排查和分析，制定安全合理的防护策略及措施，在应用层面加强安全防护，以进一步确保系统的安全。H参考文献

[1]孙基男,潘克峰,陈雪峰,张君福.基于符号执行的注入类安全漏

洞的分析技术[J].北京大学学报(自然科学版),2018,54(01):1-13.

[2]宫鼎.基于Web应用的SQL注入攻击与防范技术的研究[J].电脑知识与技术,2015,11(28):3-5.

（作者单位：大庆油田有限责任公司勘探开发研究院应用软件研究室）