浅析校园Web安全威胁与防范.docVIP

浅析校园Web安全威胁与防范 　　摘要：通过对数字化校园Web应用的安全威胁进行分析，发现跨站脚本、网页挂马、SQL注入、不良信息是主要存在的安全威胁。该文结合具体的实例分析了各种威胁的攻击方式、原理及危害，从Web管理、Web服务、技术手段提出了安全防护方案。通过实践证明，该方案可以有效提高校园Web应用的安全防护水平。 　　关键词：校园Web；Web应用；网络安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）05-1012-02 　　近几年来，各大高校为了增强信息化系统的社会服务功能和访问的便捷性，都在向Web应用模式转型。为了保证这些Web应用系统的安全，大多高校网也都部署了SSL安全代理、防火墙、IDS/IPS ，以及软件防火墙、防病毒这类安全设备。但是，网页挂马、网页篡改、Ddos攻击的恶性攻击事件不仅没有因此减少，反而还出现了大幅飙升的趋势，数字化校园 Web应用的安全防护迫在眉睫。 　　1 Web 应用典型安全威胁及实例分析 　　我院的Web 应用网站主要有：教学资源、系及各部门二级网站、邮件系统等公共服务网站，共有50多个。各二级部门网站有各个二级部门自己建设、管理，教学资源、公共服务网站有学院信息中心负责建设，管理与维护。这种模式虽然可以方便各个系、部门及时更新发布信息，但是网站的建设质量和安全防护参差不齐，给学院网络安全带来了很多隐患。下面结合数字化校园Web 应用的实际情况，分别对四类典型的Web应用安全威胁—SQL 注入、跨站脚本（ XSS） 、网页挂马、不良信息进行分析，深入剖析数字化校园Web 应用安全风险的原理，为有针对性地进行Web 安全防护提供依据和参考，进一步提高数字化校园的安全水平，为网络教育教学的顺利开展提供坚实的安全保障。 　　1.1 SQL 注入攻击 　　SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获???某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以一般防火墙都不会对SQL注入发出警报，如果管理员没查看ⅡS日志的习惯，可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况，需要构造巧妙的SQL语句，从而成功获取想要的数据。 　　1.2 跨站脚本（XSS）攻击 　　跨站脚本攻击XSS又叫CSS （Cross Site Script），它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。CSS 大体上分为存储型和反射型两种。一种存储型XSS 指的是跨站脚本在Web 服务器上，当浏览该页面时自动运行，这种攻击方式危害性很大。另外一种的反射型XSS 是存在于URL 中，诱骗用户点击实现攻击。CSS 能够实现的破坏性攻击方式有： 篡改网页、劫持用户会话、窃取用户会话中的敏感信息（ 例如通过cookie 窃取用户名密码等信息） 、跳转至恶意网站、网页挂马等。 　　1.3 网页挂马 　　网页挂马其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。网页挂马是数字化校园Web 应用的重要安全威胁之一，高校网站特别是院系部门的二级网站是网页挂马的重灾区。用户一旦访问带有木马程序的网页就很可能被感染木马病毒。另外，感染这些木马后通常很难彻底清除，影响了用户正常的网络应用。 　　1.4 不良信息 　　校园网已经成为高校师生获取信息、丰富知识和交流学习的重要渠道之一，在高校教学、科研和管理中发挥着越来越重要的作用。然而，互联网上纷繁复杂的不良信息也在充斥着校园网，其可能对师生造成的各种负面作用不容忽视。 　　2 数字化校园Web 应用安全防护 　　针对日益严峻的数字化校园Web 应用安全问题，分别从技术、管理和服务三个维度，提出了相应的安全防护方案。 　　2.1 技术综合防护 　　由于校园网Web 应用的安全威胁，特别是二级网站的安全威胁大部分来源于两个方面： ①操作系统级的安全漏洞，②网站开发程序级的安全漏洞，因此重点从服务器操作系统和应用程序开发两个层面进行安全防护。 　　1） 服务器操作系统安全防护。在服务器操作