Web程序与数据的安全防范分析.docVIP

Web程序与数据的安全防范分析 　　摘 要 Web应用已经成为世界上最有效的沟通渠道，数以百万计的Web服务器成了信息资源集散地和海量数据存储区。Web应用一旦遭遇安全威胁，将带来不可预料的巨大损失。本文分析了Web程序与数据存在的安全威胁，并在此基础上探讨了Web程序与数据的安全防范技术。 　　关键词 Web；数据安全；防范措施；策略 　　中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2013）12-0167-01 　　1 Web程序与数据存在的安全威胁 　　Web应用已经成为世界上最有效、最广泛的服务，以Web应用为基础的互联网经济已经成为世界经济的领航者。Web应用的安全涉及到了社会生活的方方面面，一旦Web应用成为攻击者的目标，将给人们的生活带来不可预计的麻烦和损失。目前Web应用开发普遍都遵循三层体系结构，客户端程序与服务器端程序的通信通过超文本传输（HTTP）协议来进行，客户端程序通常是Web浏览器，服务器则存放着用户请求的数据、程序等Web资源。Web浏览器通过HTTP命令向Web服务器发起访问请求，Web服务器处理访问请求并返回处理结果，浏览器显示服务器处理结果。根据Web应用的工作流程，可以将Web程序和数据的安全威胁分为客户端安全威胁和服务器端安全 　　威胁。 　　1.1 客户端安全威胁 　　现阶段流行的各种客户端操作系统和浏览器软件虽然考虑到了各阶层用户的需求但并不可能面面俱到，存在着各种各样的安全漏洞，这样就给攻击者带来了可乘之机。此种安全威胁最常见的补救办法便是“打补丁”。可是“打补丁”的方式往往滞后于攻击的时间，一个漏洞的补丁也许要数月，甚至数年才能发布。通过浏览器漏洞进行的安全攻击，目的更多的是为了进行更深层次的攻击，当被攻击的主机处于含有机密信息的内网时，被攻击的主机便成了进一步攻击的据点，攻击者可以通过被攻击的浏览器获取内网的机密信息并以此获利。如果将所有受到攻击的主机联结起来便成为了攻击者的僵尸网络，形成对Web应用的巨大威胁。 　　1.2 Web服务器端安全威胁 　　Web服务器端的安全威胁主要来源于服务器操作系统、Web应用程序及Web数据库系统的安全漏洞。由于Web服务器存储着用户的关键信息，比如用户的个人身份信息、银行账户、个人信用信息等，攻击者获取这些信息后便可以用来获利。另一方面，攻击者如果侵入了服务器，他便可以用Web应用来存储恶意代码进行挂马攻击或者XSS攻击。因此Web服务器常常成为攻击者的攻击目标。 　　2 常见的Web漏洞攻击 　　2.1 SQL注入式攻击 　　SQL注入式攻击是利用Web应用程序本身的漏洞进行的一种侵入式攻击，这种方式通过侵入Web应用程序对与Web应用程序相连的数据库系统进行攻击。SQL注入式攻击常见的攻击方法有如下几类： 　　数据操作攻击：攻击者通过数据操作跳过Web应用程序的认证步骤后对后台数据库数据进行伪造、修改、删除等破坏性操作。 　　命令执行攻击：一方面，攻击者利用数据库系统安全漏洞在数据库平台上执行SQL命令，从而获得对数据库系统的控制权限，转而实现对数据库系统所在主机的操作系统调用。另一方面，攻击者也可以通过调用数据库系统中存在安全隐患的存储过程实现命令执行攻击。 　　信息修改攻击：攻击者通过操纵和执行DELETE、DROP、UPDATE和INSERT等数据操作语句来进行的以信息修改为目的的攻击。 　　2.2 跨站脚本攻击 　　跨站脚本攻击是为了获取用户的Cookie信息，以便利用用户的Cookie完成信息的窃取、篡改。这种攻击方式常用持久性攻击和反射攻击两种方法植入脚本代码，打乱同源规则限制，窃取用户的Cookie。 　　2.3 远程代码执行攻击 　　远程代码执行攻击通过利用Web应用的编码错误导致的漏洞而在漏洞服务器上执行系统级代码的攻击，进行这种攻击，则整个Web服务器都会沦为攻击者的控制之下。 　　3 Web程序与数据的安全防范 　　结合上面对Web程序与数据安全威胁的分析，我们可以采取以下技术手段对Web程序与数据的安全进行有力保证。 　　3.1 基于静态分析的检测技术 　　静态分析通过对程序的源代码或者二进制代码进行分析以推断程序在执行过程中可能的行为的一种程序分析手段。应用静态分析技术可以发现软件运行时的错误，比如数组越界、缓冲区溢出、数学运算溢出等。静态分析可以在早期发现软件潜在的安全漏洞，但是，静态分析存在着很大的不确定性。 　　3.2 基于动态分析的检测技术 　　对运行着的Web应用的执行动作进行分析的方法都可以称为基于动态分析的检测方法，通过对应用程序接口（API）、系统调用、WindowsNativeAPI等各个层次的函数添加钩子函数