高校Web应用安全威胁及对策研究

孟治强

摘要：该文分析了高校Web应用安全威胁的主要类型，并从渗透测试和制度规程的角度提出高校Web应用加固对策，对高校Web应用安全工作有较强的指导意义。

关键词：Web应用；安全威胁；渗透测试

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）26-0028-02

1 概述

随着互联网的普及，基于Web 技术的网站及应用越来越多，高校Web成为人们获取信息及开展各项教育教学的重要途径，Web安全也成为高校网络安全工作中的重要组成部分。然而很多高校对于Web应用的安全意识不足或技术防范不到位，导致一些不法分子利用系统或应用漏洞对服务器实施攻击，对校园网站及其他Web应用造成了一定的影响。

2 高校Web应用安全威胁类型

当前高校Web应用安全威胁主要包含系统及应用漏洞、代码注入、XSS跨站脚本攻击、安全配置错误（弱口令）、拒绝服务攻击等。

2.1 系统漏洞

根据Spiceworks发布的2016年服务器操作系统市场份额统计数据显示，2016年服务器操作系统主要包含微软公司的WindowsServer和Linux两大类，微软公司的WindowsServer操作系统市场占有率为88%，其中已于2015年7月14停止支持的WindowsServer2003系统仍然占有18%的份额，并且全球范围内53%的企业在服务器上至少运行一个Server2003的实例。由于微软公司已经停止系统更新，这部分服务器存在系统漏洞，很容易被黑客发现系统漏洞幷实施攻击，进而影响到局域网内其他服务器的正常运行。

运行Linux操作系统的服务器中red hat enterprise linux仅占1%，其他各类Linux占有11%的市场份额，这主要是由于Linux操作系统的技术门槛较高，且很多管理没有定期为Linux操作系统更新的习惯，导致系统存在漏洞造成安全隐患。

另外，开放多余的服务也是操作系统安全的一个重大隐患，如2017年4月爆发的勒索病毒WannaCry就是利用操作系统中开放的139和445端口发动攻击，造成大量校园网中的服务器和客户机中的重要文件丢失。

2.2 代码注入

代码注入是针对Web应用的攻击技术，主要是利用Web应用程序输入验证不完善的漏洞，使Web应用程序执行由攻击者注入的指令或代码，造成信息泄露或未授权访问1。代码注入主要分为针对数据库的SQL注入、针对Web服务器端的ASP注入或PHP注入以及針对操作系统的shell注入等类型，其中又以SQL注入最为常见。

SQL注入漏洞主要是由于用户输入没有被正确的过滤掉字符串转义字符，从而使得用户可以输入并执行非预期的SQL指令。因此SQL注入攻击主要是向用户提供的输入接口输入一段预先构造好的指令，攻击不完善的输入验证机制，使得输入代码得以执行以完成攻击行为。

2.3 XSS跨站脚本攻击

XSS跨站脚本攻击与注入攻击的根本区别在于其攻击目标是使用Web应用程序的用户而非提供Web服务的应用程序。它的主要原理利用Web应用程序中的安全漏洞，在服务器网页中插入一些客户端脚本代码，当用户访问这些网页时，会自动下载并执行。

XSS跨站脚本漏洞分为持久性和非持久性两类，典型的非持久性攻击一般是通过窃取用户会话的Cookie，从而假冒其他用户发表或修改帖子，达到攻击的目的。

2.4 安全配置错误

错误的安全配置一般是由于管理员安全意识不足或技术不过关，在服务器或Web应用配置时疏忽造成的，包含范围广泛，通常认为容易造成严重的安全问题的配置即为安全配置错误。

常见的安全配置错误如授权与访问控制机制不健全、系统管理员及数据库账户弱口令、未开启系统更新与防火墙策略或Config文件中的链接字符串以及用户信息，邮件，数据存储信息未加以保护等。

2.5 拒绝服务攻击

拒绝服务攻击的目的是使计算机或网络无法提供正常的服务，是业界目前公认的最难防守的网络攻击类型之一。攻击者会采取资源耗尽的方式，让访问者无法正常使用Web应用中的服务，这些资源包括磁盘空间、系统内存、网络带宽等等。产生拒绝服务攻击的最根本原因在于网络协议本身的缺陷，使得攻击者可以采取不间断的访问迫使服务器的缓冲区满，不接收新的请求，影响合法用户的连接。

目前拒绝服务的攻击方式主要是采取极大的通信量冲击网络致使带宽耗尽或是连通性攻击，常用的手段主要有死亡之PNG、SYN Flood、IP欺骗、UDP洪水攻击、Land攻击、Fraggle攻击等。

3 高校Web应用加固对策

3.1 定期开展行渗透测试

定期开展渗透测试有助于帮助用户及时发现新的风险，理解当前的信息安全状况，有助于用户更好的分配有限的资源。渗透测试一般从以下几个方面进行：

1） 扫描目标主机

测试操作的第一步工作即是收集目标主机的相关信息，利用扫描工具对目标主机进行探测，检测目标主机是否存在已知的系统漏洞，并探测目标主机开放的端口和服务。通过对扫描结果的分析，对目标主机公开的信息进行审核，从社会工程学的角度进行分析，对目标主机的加固提出有益建议2。

通过扫描获取的信息，分析目标主机可能被渗透的方式，关闭不必要的服务，如你不会共享你的文件或打印机，则可以将Server服务设置为手动；而Remote Registry等容易造成远程攻击的服务，则是一定要关闭的。

2） 代码注入测试

访问目标Web应用服务器网址，通过手工验证或旁注检测程序对目标主机进行代码注入测试，检测目标主机是否存在SQL注入漏洞、XSS跨站脚本攻击漏洞等常见代码注入漏洞并对注入点进行攻击，尝试破解网站具备管理员权限的账号和密码。endprint

检测出代码注入漏洞首先需加固用户网站代码，应对 SQL注入点的关键词和特殊字符进行过滤，并防止直接将数据库返回的错误信息显示给用户。其次，设置数据库管理系統安全配置项，尽量避免直接使用SA账号管理数据库，采取Windows身份验证模式，可避免大多Internet工具的侵害。

3） 安全配置防护检测

检测操作系统和应用安全配置，关闭不必要的服务和端口，检测系统是否开启审核策略和账户强制安全策略，检测系统是否存在冗余备份策略，系统是否禁止默认共享和空连接等。

检测应用数据库安全策略，是否配置安全审计功能和防止无限尝试登陆策略，检测数据库和Web应用的密码是否符合复杂密码要求等。

3.2 制定科学的安全防护制度

1） 定期组织开展安全教育与培训

组织所有管理员认真学习《计算机信息网络国际互联网安全保护管理办法》等安全法规，定期开展校园网络安全常识培训，提高用户的安全意识，避免不法分子从内部局域网攻击Web应用服务器。

组织网络安全管理员到企业相应岗位开展交流学习活动，拓展专业技术人员的视野，提高业务素质能力，鼓励安全从业人员参加专业相关的培训，不断学习最新的行业知识，了解业内最新动态，跟上技术的发展。

2） 定期进行病毒扫描和安全漏洞检测

制定网络安全状态巡视制度并严格执行，每日记录巡视情况，及时修补系统漏洞，并升级操作系统、Web应用等，并根据实际情况和需要采用最新的技术调整网络架构，及时排除网络安全隐患。

4 小结

本文通过对于校园Web应用安全威胁的分析，发现对于校园Web应用的安全威胁包含系统及应用漏洞、代码注入、XSS跨站脚本攻击、安全配置错误、拒绝服务攻击等几个方面，进而提出从定期开展渗透测试和制定科学的安全防护制度加固Web应用服务器。但是网络安全是一个动态攻防的过程，因此只有不断提高专业技术人员的业务素质和安全意识，才能最大程度保障Web应用的安全。

参考文献：

[1] 欧阳林. 校园网站入侵攻击的查找与防范[J]. 电脑编程技巧与维护，2017（1）：88-89+94.

[2] 黄伟军. 基于渗透测试的信息安全风险评估过程[J]. 中国管理信息化，2015（15）：99-102.endprint