基于Web系统安全研究.docVIP

基于Web系统安全研究 　　【 摘 要 】 随着计算机技术和互联网技术的发展，各级政府机关、企业事业单位都在研发自己的网站，将各种业务都通过Web系统进行办理。事实上企事业单位往往注重Web系统的功能和性能，却很少注意到Web系统的安全问题，文章就基于Web系统安全问题进行了研究和探讨，并就系统中的安全漏洞提出了解决途径或方法。 　　【 关键词 】 Web系统；安全漏洞 　　【 Abstract 】 With the development of computer technology and Internet technology， all levels of government agencies， Enterprise Inc in the development of their own Website， a variety of business through the Web system management. But the enterprises usually pay more attention to the function and performance of the Web system， but pay little attention to the security problems of Web system， Web system is proposed in this paper based on the safety problems are studied， and the security loophole in the system is proposed to solve the way or method. 　　【 Keywords 】 web system；security vulnerabilities 　　1 引言 　　随着计算机技术和互联网的发展，电子商务、网络办公的兴起，越来越多的政府机关、企业事业单位都办起了自己的各种Web系统，例如OA办公系统、信息发布系统、工资查询系统、驾校预约系统、在线考试系统、干部测评系统、成果申报系统等，这些系统的使用极大地提高了工作效率、节约了人力、节约了资金给使用部门带来极大的便利，但同时也给这些部门带来极大地风险。目前各个单位在开发Web系统时将大量的资金和精力花费在设备和Web系统的功能和性能上，甚少考虑Web系统的安全问题，导致系统极易受到黑客的攻击或被黑客篡改了数据，导致系统崩溃或其他问题。 　　本文就基于Web系统安全机制方面的问题进行了分析，Web系统的安全性除了受Web应用程序设计的影响，还包括运行Web应用程序的操作系统及数据库等因素的影响。 　　2 Web应用程序设计问题 　　2.1 用户权限设计 　　每种Web应用程序在设计的时候都要进行仔细的需求分析，要考虑好各类用户权限的设定和划分，避免使得用户在使用时获取到身份不相符权限，或者页面缺少身份验证，用户不经身份验证就打开相应的页面等问题。例如在干部测评系统中，根据系统参与人员分析我们把测评系统用户分为系统管理员、纪委监察员、信息上传员、参与投票用户共四类人员，其各自权限有：（1）系统管理员权限：设定被测评的部门和被测评人员，负责导出投票结果，保存历史测评信息，具有对纪委监察员和信息上传员信息初始化的权限；不具有对参与投票用户信息管理的权限；（2）纪委监察员权限：设定参与测评的部门和人数，并利用系统随机生成用户名和密码，并将用户名和密码下发给相关人员；监控测评进度；具有对自身信息修改的权限；（3）信息上传员权限：具有对自身信息进行更改的权限；上传被测评部门和被测评人员的信息等；（4）参与投票用户权限：具有对自身信息进行更改的权限；可对被测评部门和被测评人员进行投票。 　　2.2 程序设计问题漏洞 　　不管Web程序设计基于某种语言或脚本，因使用语言或脚本本身就有部分缺陷导致产生安全漏洞，比如对特殊字符的判断或者会话管理漏洞等。例如在中的“cookie会话” 漏洞，入侵者自己在URL中创造一个假的会话标识（ID），并将其提交给服务器，服务器被欺骗以为会话是合法的，会创建一个会话。这个漏洞使得攻击者可以窃取会话并装扮成一个合法用户自由访问程序。 　　3 Web数据库安全问题 　　Web数据库中存储的数据都是系统的重要信息，例如在线考试系统中存储学生登录用户名、密码、答卷信息、各科考试成绩；阅卷教师账户、密码、试卷信息等。这些信息一旦丢失或被非法入侵者篡改了数据，将对学校教学工作带来混乱，使得学生对学校考试的公平性、公正性产生怀疑。根据数据库的自身特性对数据库安全方面要考虑几个问题：（1）对Web应用程序中进行必要的脚本审核，过滤一些类似“，