Web应用程序的安全问题及对策.docxVIP

信息安全Web应用程序的安全问题及对策马宏伟 / 新疆轻工职业技术学院信息与软件分院进入二十一世纪以来，互联网以惊人的速度在（9）不安全的密码存储。（10）传输层保护不足。 另外还值得一提的是，很多程序员常使用网上一些公开免费的源码模版来开发Web应用程序，公开的源码的 安全性低，非常容易让黑客找到源码的漏洞，从而威胁到 Web应用程序的安全。3 Web 信息安全 Web应用程序的安全问题及对策 马宏伟 / 新疆轻工职业技术学院信息与软件分院 进入二十一世纪以来，互联网以惊人的速度在 （9）不安全的密码存储。 （10）传输层保护不足。 另外还值得一提的是，很多程序员常使用网上一些 公开免费的源码模版来开发Web应用程序，公开的源码的 安全性低，非常容易让黑客找到源码的漏洞，从而威胁到 Web应用程序的安全。 3 Web应用程序开发中的安全对策 一个Web系统由Web服务器系统、Web客户端系统和 Internet网络组成[6]。这三个系统都会产生Web应用程序的 安全问题，所以Web应用程序的安全问题是一个复杂的综 合问题。在Web应用程序开发阶段就应对于安全问题予以 重视，下面分别从数据库设计、程序设计、服务器等三个 层面去考虑如何加强Web应用程序的安全性。 3.1 数据库设计层面 数据库存放着Web应用程序最重要的部分：数据。在 开发过程中的数据库设计阶段就应该考虑好安全问题，以 下建议有助于提高其安全性。 （1）在设计数据库时如果涉及跨库操作，应尽量使 用视图来实现。 视图可以让用户或者程序开发人员只看到他们所需要 的数据，而不需要把表中的所有信息与字段暴露出来，这 样增强了数据的安全性。 （2）对数据库的操作使用存储过程。 （3）注意使用数据库建表时的字段类型，不要用可 能被修改的字段做主键，否则会给相关记录的更新带来隐 患。 （4）尽量避免大事务的处理。 （5）尽量避免使用游标。 3.2 程序设计层面 目前大多数的网络攻击和互联网安全事件源于应用软 件自身的脆弱性，而其根源来自程序开发者在网页程序编 制过程中缺乏相关的安全意识和知识，并且开发完成后也 缺乏相应的代码检测机制和手段。这些脆弱性在日后就成 为了黑客用来发动攻击、进行页面篡改、以及布放和传播 网页木马的最有效途径[7]。 Web应用系统形式多样，但其内在特征基本一致，即 具有较强的交互性并且使用数据库系统。由于SQL注入使 中国应用和普及。互联网已经成为一项重要 的社会基础设施，Web应用也逐渐成为软件 开发的主流之一[1]。Web页面是所有互联网应用的主要界 面和入口，各行业信息化过程中的应用几乎都架设在Web 平台上，关键业务也通过Web网站来实现。经过调查发 现：目前，传统的大多数企事业网站通常采用防火墙、入 侵检测/漏洞扫描等技术作为网站边界的防护[2]。尽管防火 墙、入侵检测等技术已经比较成熟，Web应用的特殊性往 往导致防范各类安全性问题的难度很大，因为Web应用攻 击通常来自应用层，并且可能来自任何在线用户，甚至包 括已经通过认证的用户[3]。同时，对Web应用程序的攻击 也可以说是形形色色、种类繁多，常见的有挂马、SQL注 入、缓冲区溢出等。正是因为这样，Web应用程序最容易 遭受攻击，Web应用程序的安全性变得越来越重要。 1 Web应用的安全弱点 Web应用本身具有一些安全弱点，归纳起来有以下几 点： （1）TCP/IP协议本身的缺陷。 （2）网络结构的不安全性。 （3）数据窃听。 （4）验证手段的有效性问题。 （5）人为因素。 2 Web应用程序的安全漏洞 根据Symantec发布的《SymantecInternetSecurItythreat report》，60%以上的软件安全漏洞是关于Web应用的[4]。 开放式Web应用程序安全项目（openWebapplIcatIonSecurI typroject，OWASP）在2010年公布的Web应用十大安全漏 洞中[5]： （1）注入漏洞。 （2）跨站脚本漏洞。 （3）失败的认证和会话管理。 （4）直接对象引用隐患。 （5）CSRF跨站点请求伪造。 （6）安全配置错误。 （7）限制URL访问失败。 （8）尚未验证的访问重定向。 ◆ 中图分类号：TP393.08 161 Com puter CD Software and App lic ations 摘 要：Web页面是所有互联网应用的主要界面和入口，各行业信息化过程中的应用几乎都架设在Web平台上，关键业务 也通过Web应用程序来实现，Web应用程序的安全性变得越来越重要。Web应用本身具有一些的安全弱点，其安全漏洞常 被利用来攻击。Web应用程序的安全问题是一个复杂的综合问题，在Web应用程序开发阶段就应予以重视，分别从