论文部分内容阅读
摘要:随着WEB 应用的快速发展,WEB 应用中所存在的安全问题也暴露得越来越明显。本文对WEB 安全评估与传统评估服务的区别以及评估流程、WEB 应用中常见的几种威胁分别做了介绍,并详细讲解了WEB 安全评估方式与防护策略的应用。
关键词:WEB;安全;评估;防护
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 14-0080-01
服务提供方对减少客户端开发成本和维护成本的一直有着很高的期望,伴随着用户对客户端的便利性的需求,促使更多的应用向B/S(浏览器/ 服务器)结构发展。用户对页面展现效果以及其易用性的需求的逐步提升也推动了WEB 2.0 技术广泛应用,这样暴露出来的越来越多的安全问题就成了WEB应用快速发展产生的负面影响。
一、概述
WEB安全评估针对当前突出的WEB 安全问题分别从外部和内部进行黑盒和白盒安全评估。基于WEB多层面结构的特性,针对每一个特定层面进行综合关联分析和评估,从而找出WEB站点中面临威胁的安全问题与隐患。
二、面临的威胁
(一)跨站脚本
跨站脚本攻击全也称为XSS。此漏洞是由于指攻击者利用网站程序对用户输入过滤不足,使得攻击者精心构造的恶意脚本在普通用户的浏览器中得到执行,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害。在今天WEB 2.0的时代,跨站脚本漏也很有可能在被蠕虫利用的情况下,进行大规模的危害很大的攻击,。
(二)注入攻击
注入攻击中最常见的是SQL 注入,此攻击类型是由于在没有对内容进行严格验证的情况下使用应用程序。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入,并且进行未授权的数据修改,从而对WEB站点造成很大的安全威胁。
(三)越权操作
越权攻击是由于程序员对页面的管理权的审定不完善,从而造成的使攻击者利用潜在漏洞在无需得到用户或管理员的密码的情况下即可访问的漏洞。越权操作可以按获得的权限所在的层级结构分为水平越权和垂直越权。
水平越权:指的是攻击者利用的同样级别的用户权限获得了其它同样权限级别用户的数据,这种越权在同等级权限的情况下,所以称之为水平越权。这种越权往往会导致用户信息泄露,或者被恶意篡改,重要数据丢失。
垂直越权:值得是攻击利用低等级权限的用户获得了高于当前级别的权限,因为这种越权跨越权限等级,所以称之为垂直越权。这种越权因为攻击者获得了很高的权限,甚至网站服务器的管理员权限,其危害不言而喻。
(四)文件上传
文件上传漏洞指:开发人员编写应用程序时,未对用户上传的文件扩展名进行严格检查,从而导致攻击者上传webshell,获取到网站的权限。文件上传大多数是由于开发人员的疏忽或者对安全的理解不深引发的。例如:开发人员只过滤了asp 扩展名的文件,而未asa、cer 扩展名的文件,而asa、cer 扩展名的文件也会被asp.dll 解析,从而导致webshell 被上传。
(五)信息泄露
信息泄漏大致分为两类:一类是由于应用程序编写时对错误处理方式考虑不全面,使得用户提交非法数据时应用程序报错,在错误信息中可能包含大量操作系统版本、WEB 服务器版本、网站在服务器上的绝对路径等敏感信息。此类型漏洞攻击者可能无法直接利用,但和其他漏洞结合起来,就会对成功入侵起到很大的帮助。
(六)第三方应用程序安全性
由于互联网已经发展的很成熟,很多开发人员在开发某些模块时可能会上网搜索一些现成的代码,将其加入到自己的程序中,但由于网络上开发人员的水平层次不齐,很多代码的安全性很差,而开发人员将这些程序嵌入到自己的程序中,会导致安全问题产生,如fckeditor、ewebeditor 等应用程序在历史上就发现过很多漏洞,成为很多攻击者的突破口。
三、评估方式
(一)外部评估
外部评估是指测试人员由外部发起的、针对服务器和应用服务的远程评估工作,主要模拟来自外部的恶意扫描等行为,以此发现暴露于网络上的安全问题。
(二)内部评估
内部评估是指从内部发起针对服务器配置、策略及代码本身的安全检查。相对外部安全的黑盒测试方式来讲,内部评估更近似于白盒测试,注重功能性及安全性的检查,从根源上发现所存在的隐患。
四、防护策略
WEB网站的安全防护相较于信息系统的安全防护相类似,也涉及到多个层面:通用软件、一般服务组件如数据库、常用软件、系统层面、网络层面等、特定应用,相较于前三类防护手段是类似的。
因此,对WEB 应用程序的防护并不能单单考虑被动的、通用的防护方式,而需要以更为主动的方式进行,如在程序的设计过程中功能安全性的考虑,在开发过程中的安全测试及上线前的代码审计等工作。通过这样一系列工作将安全渗透到每一个环节中,增加安全的主动性,以此达到应用程序的安全、稳定。
参考文献:
[1]刘壮业,姚郑.面向服务架构若干关键问题研究[J].计算机工程与设计,2009,(03).
[2]沈祥,方振宇.面向服务架构的研究[J].计算机技术与发展,2009,(02).
[3]寻大勇.基于面向服务架构(SOA)的电子政务[J].中国管理信息化,2009,(09).
[4]李晓飞,袁立群,张平.跨地域分布式面向web安全性控制系统架构研究[J].财经界(学术版),2009,(12).
[作者简介]易文平(1984-),江西宜春人,宜春学院助教,学士,主要从事计算机教学与研究。
关键词:WEB;安全;评估;防护
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 14-0080-01
服务提供方对减少客户端开发成本和维护成本的一直有着很高的期望,伴随着用户对客户端的便利性的需求,促使更多的应用向B/S(浏览器/ 服务器)结构发展。用户对页面展现效果以及其易用性的需求的逐步提升也推动了WEB 2.0 技术广泛应用,这样暴露出来的越来越多的安全问题就成了WEB应用快速发展产生的负面影响。
一、概述
WEB安全评估针对当前突出的WEB 安全问题分别从外部和内部进行黑盒和白盒安全评估。基于WEB多层面结构的特性,针对每一个特定层面进行综合关联分析和评估,从而找出WEB站点中面临威胁的安全问题与隐患。
二、面临的威胁
(一)跨站脚本
跨站脚本攻击全也称为XSS。此漏洞是由于指攻击者利用网站程序对用户输入过滤不足,使得攻击者精心构造的恶意脚本在普通用户的浏览器中得到执行,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害。在今天WEB 2.0的时代,跨站脚本漏也很有可能在被蠕虫利用的情况下,进行大规模的危害很大的攻击,。
(二)注入攻击
注入攻击中最常见的是SQL 注入,此攻击类型是由于在没有对内容进行严格验证的情况下使用应用程序。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入,并且进行未授权的数据修改,从而对WEB站点造成很大的安全威胁。
(三)越权操作
越权攻击是由于程序员对页面的管理权的审定不完善,从而造成的使攻击者利用潜在漏洞在无需得到用户或管理员的密码的情况下即可访问的漏洞。越权操作可以按获得的权限所在的层级结构分为水平越权和垂直越权。
水平越权:指的是攻击者利用的同样级别的用户权限获得了其它同样权限级别用户的数据,这种越权在同等级权限的情况下,所以称之为水平越权。这种越权往往会导致用户信息泄露,或者被恶意篡改,重要数据丢失。
垂直越权:值得是攻击利用低等级权限的用户获得了高于当前级别的权限,因为这种越权跨越权限等级,所以称之为垂直越权。这种越权因为攻击者获得了很高的权限,甚至网站服务器的管理员权限,其危害不言而喻。
(四)文件上传
文件上传漏洞指:开发人员编写应用程序时,未对用户上传的文件扩展名进行严格检查,从而导致攻击者上传webshell,获取到网站的权限。文件上传大多数是由于开发人员的疏忽或者对安全的理解不深引发的。例如:开发人员只过滤了asp 扩展名的文件,而未asa、cer 扩展名的文件,而asa、cer 扩展名的文件也会被asp.dll 解析,从而导致webshell 被上传。
(五)信息泄露
信息泄漏大致分为两类:一类是由于应用程序编写时对错误处理方式考虑不全面,使得用户提交非法数据时应用程序报错,在错误信息中可能包含大量操作系统版本、WEB 服务器版本、网站在服务器上的绝对路径等敏感信息。此类型漏洞攻击者可能无法直接利用,但和其他漏洞结合起来,就会对成功入侵起到很大的帮助。
(六)第三方应用程序安全性
由于互联网已经发展的很成熟,很多开发人员在开发某些模块时可能会上网搜索一些现成的代码,将其加入到自己的程序中,但由于网络上开发人员的水平层次不齐,很多代码的安全性很差,而开发人员将这些程序嵌入到自己的程序中,会导致安全问题产生,如fckeditor、ewebeditor 等应用程序在历史上就发现过很多漏洞,成为很多攻击者的突破口。
三、评估方式
(一)外部评估
外部评估是指测试人员由外部发起的、针对服务器和应用服务的远程评估工作,主要模拟来自外部的恶意扫描等行为,以此发现暴露于网络上的安全问题。
(二)内部评估
内部评估是指从内部发起针对服务器配置、策略及代码本身的安全检查。相对外部安全的黑盒测试方式来讲,内部评估更近似于白盒测试,注重功能性及安全性的检查,从根源上发现所存在的隐患。
四、防护策略
WEB网站的安全防护相较于信息系统的安全防护相类似,也涉及到多个层面:通用软件、一般服务组件如数据库、常用软件、系统层面、网络层面等、特定应用,相较于前三类防护手段是类似的。
因此,对WEB 应用程序的防护并不能单单考虑被动的、通用的防护方式,而需要以更为主动的方式进行,如在程序的设计过程中功能安全性的考虑,在开发过程中的安全测试及上线前的代码审计等工作。通过这样一系列工作将安全渗透到每一个环节中,增加安全的主动性,以此达到应用程序的安全、稳定。
参考文献:
[1]刘壮业,姚郑.面向服务架构若干关键问题研究[J].计算机工程与设计,2009,(03).
[2]沈祥,方振宇.面向服务架构的研究[J].计算机技术与发展,2009,(02).
[3]寻大勇.基于面向服务架构(SOA)的电子政务[J].中国管理信息化,2009,(09).
[4]李晓飞,袁立群,张平.跨地域分布式面向web安全性控制系统架构研究[J].财经界(学术版),2009,(12).
[作者简介]易文平(1984-),江西宜春人,宜春学院助教,学士,主要从事计算机教学与研究。