高校Web的应用安全威胁及对策的研究.docVIP

高校Web的应用安全威胁及对策的研究 　　摘要：该文分析了高校Web应用安全威胁的主要类型，并从渗透测试和制度规程的角度提出高校Web应用加固对策，对高校Web应用安全工作有较强的指导意义。 　　关键词：Web应用；安全威胁；渗透测试 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）26-0028-02 　　1 概述 　　随着互联网的普及，基于Web 技术的网站及应用越来越多，高校Web成为人们获取信息及开展各项教育教学的重要途径，Web安全也成为高校网络安全工作中的重要组成部分。然而很多高校对于Web应用的安全意识不足或技术防范不到位，导致一些不法分子利用系统或应用漏洞对服务器实施攻击，对校园网站及其他Web应用造成了一定的影响。 　　2 高校Web应用安全威胁类型 　　当前高校Web应用安全威胁主要包含系统及应用漏洞、代码注入、XSS跨站脚本攻击、安全配置错误（弱口令）、拒绝服务攻击等。 　　2.1 系统漏洞 　　根据Spiceworks发布的2016年服务器操作系统市场份额统计数据显示，2016年服务器操作系统主要包含微软公司的WindowsServer和Linux两大类，微软公司的WindowsServer操作系统市场占有率为88%，其中已于2015年7月14停止支持的WindowsServer2003系统仍然占有18%的份额，并且全球范围内53%的企业在服务器上至少运行一个Server2003的实例。由于微软公司已经停止系统更新，这部分服务器存在系统漏洞，很容易被黑客发现系统漏洞?帐凳┕セ鳎?进而影响到局域网内其他服务器的正常运行。 　　运行Linux操作系统的服务器中red hat enterprise linux仅占1%，其他各类Linux占有11%的市场份额，这主要是由于Linux操作系统的技术门槛较高，且很多管理没有定期为Linux操作系统更新的习惯，导致系统存在漏洞造成安全隐患。 　　另外，开放多余的服务也是操作系统安全的一个重大隐患，如2017年4月爆发的勒索病毒WannaCry就是利用操作系统中开放的139和445端口发动攻击，造成大量校园网中的服务器和客户机中的重要文件丢失。 　　2.2 代码注入 　　代码注入是针对Web应用的攻击技术，主要是利用Web应用程序输入验证不完善的漏洞，使Web应用程序执行由攻击者注入的指令或代码，造成信息泄露或未授权访问1。代码注入主要分为针对数据库的SQL注入、针对Web服务器端的ASP注入或PHP注入以及?对操作系统的shell注入等类型，其中又以SQL注入最为常见。 　　SQL注入漏洞主要是由于用户输入没有被正确的过滤掉字符串转义字符，从而使得用户可以输入并执行非预期的SQL指令。因此SQL注入攻击主要是向用户提供的输入接口输入一段预先构造好的指令，攻击不完善的输入验证机制，使得输入代码得以执行以完成攻击行为。 　　2.3 XSS跨站脚本攻击 　　XSS跨站脚本攻击与注入攻击的根本区别在于其攻击目标是使用Web应用程序的用户而非提供Web服务的应用程序。它的主要原理利用Web应用程序中的安全漏洞，在服务器网页中插入一些客户端脚本代码，当用户访问这些网页时，会自动下载并执行。 　　XSS跨站脚本漏洞分为持久性和非持久性两类，典型的非持久性攻击一般是通过窃取用户会话的Cookie，从而假冒其他用户发表或修改帖子，达到攻击的目的。 　　2.4 安全配置错误 　　错误的安全配置一般是由于管理员安全意识不足或技术不过关，在服务器或Web应用配置时疏忽造成的，包含范围广泛，通常认为容易造成严重的安全问题的配置即为安全配置错误。 　　常见的安全配置错误如授权与访问控制机制不健全、系统管理员及数据库账户弱口令、未开启系统更新与防火墙策略或Config文件中的链接字符串以及用户信息，邮件，数据存储信息未加以保护等。 　　2.5 拒绝服务攻击 　　拒绝服务攻击的目的是使计算机或网络无法提供正常的服务，是业界目前公认的最难防守的网络攻击类型之一。攻击者会采取资源耗尽的方式，让访问者无法正常使用Web应用中的服务，这些资源包括磁盘空间、系统内存、网络带宽等等。产生拒绝服务攻击的最根本原因在于网络协议本身的缺陷，使得攻击者可以采取不间断的访问迫使服务器的缓冲区满，不接收新的请求，影响合法用户的连接。 　　目前拒绝服务的攻击方式主要是采取极大的通信量冲击网络致使带宽耗尽或是连通性攻击，常用的手段主要有死亡之PNG、SYN Flood、IP欺骗、UDP洪水攻击、Land攻击、Fraggle攻击等。 　　3 高校Web应用加固对策 　　3.1 定期开展行渗透测试 　　定期开展渗透测试有助于帮助用户及时发现新