◆譚志超

Web應(yīng)用的安全形勢(shì)與防護(hù)策略研究

◆譚志超

（湖南大眾傳媒職業(yè)技術(shù)學(xué)院圖文信息中心 湖南 410100）

近年來(lái)，Web應(yīng)用得到了飛速發(fā)展，但絕大部分Web應(yīng)用存在安全漏洞。攻擊者出于經(jīng)濟(jì)、政治等目的，利用SQL注入、Webshell、跨站腳本XSS、弱口令等漏洞對(duì)Web站點(diǎn)實(shí)施篡改、掛馬、攻擊、數(shù)據(jù)竊取等惡意行為，得到了國(guó)家和全社會(huì)的高度重視。在安裝專(zhuān)業(yè)安全設(shè)備的基礎(chǔ)上，還應(yīng)通過(guò)參數(shù)化查詢(xún)、過(guò)濾用戶(hù)輸入、使用輸入驗(yàn)證與輸出編碼、加強(qiáng)服務(wù)器權(quán)限管理、過(guò)濾可執(zhí)行函數(shù)入口、限制連接數(shù)與請(qǐng)求數(shù)等方法從源頭上加以防護(hù)。

Web應(yīng)用；安全；形勢(shì)；防護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，基于瀏覽器訪(fǎng)問(wèn)的Web應(yīng)用得到迅速推廣，覆蓋了政府、金融、通訊、能源、教育、醫(yī)療、電子商務(wù)等各行各業(yè)，涉及了工作、學(xué)習(xí)、生活、工控等方方面面，給人們的生產(chǎn)生活帶來(lái)了巨大的改變，為經(jīng)濟(jì)社會(huì)向前發(fā)展起到了重大的推進(jìn)作用。但在互聯(lián)網(wǎng)應(yīng)用與互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展如火如荼的同時(shí)，來(lái)自互聯(lián)網(wǎng)的安全威脅也越來(lái)越多，利用操作系統(tǒng)漏洞、SQL注入、Webshell、跨站腳本XSS等手段奪得控制權(quán)，對(duì)Web站點(diǎn)實(shí)施篡改、掛馬、攻擊、數(shù)據(jù)竊取等行為時(shí)有發(fā)生，安全事件出現(xiàn)的頻次居高不下，帶來(lái)的破壞性、影響力在不斷增大，呈現(xiàn)出波及范圍廣、傳播速度快、破壞力強(qiáng)等特點(diǎn)?；ヂ?lián)網(wǎng)應(yīng)用的良性發(fā)展，需要Web應(yīng)用的安全性、健壯性得到保證。Web應(yīng)用安全不僅要從提高安全意識(shí)、加裝防護(hù)軟件、部署安全設(shè)備上入手，還得不斷創(chuàng)新技術(shù)手段從源頭上進(jìn)行加固和防護(hù)。

1 近年來(lái)我國(guó)網(wǎng)絡(luò)安全背景

2014年，在我國(guó)接入國(guó)際互聯(lián)網(wǎng)20周年之際，我國(guó)網(wǎng)民的總?cè)藬?shù)突破了6億，各類(lèi)網(wǎng)站接近400余萬(wàn)家，參與網(wǎng)絡(luò)購(gòu)物的人數(shù)達(dá)到了3億，我國(guó)已然成為互聯(lián)網(wǎng)大國(guó)，但與互聯(lián)網(wǎng)強(qiáng)國(guó)還有較大差距。2月27日，中共中央網(wǎng)絡(luò)與信息化領(lǐng)導(dǎo)小組正式成立，中共中央總書(shū)記、國(guó)家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng)，將網(wǎng)絡(luò)安全上升為國(guó)家戰(zhàn)略。在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)上，習(xí)近平強(qiáng)調(diào)“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”，做出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”的重要論斷。

2015年6月，網(wǎng)絡(luò)安全企業(yè)與國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、基礎(chǔ)電信企業(yè)、重要行業(yè)部門(mén)、安全廠(chǎng)商和民間漏洞平臺(tái)等單位在北京簽訂了《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》，進(jìn)一步規(guī)范漏洞接入、處置與發(fā)布等工作。2015年7月，網(wǎng)絡(luò)安全法草案向全社會(huì)公開(kāi)征求意見(jiàn)，新的國(guó)家安全法明確了要建設(shè)網(wǎng)絡(luò)與信息安全保障體系并在十二屆全國(guó)人大常委會(huì)第十五次會(huì)議上獲得通過(guò)，中國(guó)刑法修正案（九）加入了維護(hù)網(wǎng)絡(luò)信息安全的相關(guān)內(nèi)容并于十二屆全國(guó)人大常委會(huì)第十六次會(huì)議審議通過(guò)。

2016年3月，中國(guó)首個(gè)網(wǎng)絡(luò)安全領(lǐng)域的全國(guó)性社會(huì)團(tuán)體——網(wǎng)絡(luò)空間安全協(xié)會(huì)在北京成立，4月19日，中共中央網(wǎng)絡(luò)與信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平主持召開(kāi)網(wǎng)絡(luò)安全和信息化工作座談會(huì)，并發(fā)表了4.19重要講話(huà)，提出我國(guó)網(wǎng)信事業(yè)發(fā)展要適應(yīng)按照創(chuàng)新、協(xié)調(diào)、綠色、開(kāi)放、共享的發(fā)展理念推動(dòng)我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展這個(gè)大趨勢(shì)，推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。8月，中央網(wǎng)信辦、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)委為加強(qiáng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化聯(lián)合印發(fā)了《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》。11月，保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》發(fā)布。12月，為了貫徹落實(shí)習(xí)近平主席關(guān)于推進(jìn)全球互聯(lián)網(wǎng)治理體系變革的“四項(xiàng)原則”和構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的“五點(diǎn)主張”，《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》出臺(tái)并發(fā)布，闡明了我國(guó)關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的重大立場(chǎng)。

2017年6月1日，期盼已久的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，填補(bǔ)了我國(guó)網(wǎng)絡(luò)安全方面的法律空白，網(wǎng)絡(luò)安全進(jìn)入有法可依時(shí)代，為打擊網(wǎng)絡(luò)犯罪、保障網(wǎng)絡(luò)與信息安全供了法律依據(jù)。

綜上表明，網(wǎng)絡(luò)與信息安全已經(jīng)上升為國(guó)家戰(zhàn)略，將其作為了國(guó)家安全的重要內(nèi)容，并進(jìn)行了立法，實(shí)現(xiàn)了有法可依。網(wǎng)絡(luò)安全由民間自發(fā)行為為主轉(zhuǎn)變?yōu)閲?guó)家主導(dǎo)社會(huì)民間團(tuán)體共同參與，群策群力、聯(lián)防聯(lián)治、統(tǒng)一共享的工作局面，全社會(huì)的重視程度得了前所未有的提升。

2 面臨的主要安全威脅

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心《2016年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，2016年，網(wǎng)頁(yè)仿冒數(shù)量、網(wǎng)頁(yè)篡改數(shù)量、DDoS攻擊數(shù)量、僵尸網(wǎng)絡(luò)和木馬程序感染數(shù)與2015年相比均有所下降，但安全漏洞數(shù)量、網(wǎng)站后門(mén)攻擊數(shù)量、移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量與2015年相比均有所上升。我國(guó)有約1699萬(wàn)臺(tái)主機(jī)被木馬和僵尸網(wǎng)絡(luò)控制服務(wù)器控制，其中境外控制了約1499萬(wàn)臺(tái)，排名前3的分別美國(guó)、中國(guó)臺(tái)灣和荷蘭，相比2015年控制服務(wù)器數(shù)量有所下降。移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量達(dá)到205萬(wàn)個(gè)，相比2015年增長(zhǎng)了39.0%，發(fā)展趨勢(shì)持續(xù)增長(zhǎng)，惡意程序排在首位的是流氓行為類(lèi)，其次是惡意扣費(fèi)類(lèi)和資費(fèi)消耗類(lèi)。CNVD（國(guó)家信息安全漏洞共享平臺(tái)）2016年共收錄通用軟硬件漏洞10822 個(gè)，相比2015 年增長(zhǎng)了33.9%，其中應(yīng)用程序漏洞占到了60.0%，Web 應(yīng)用漏洞占到16.8%。仿冒我國(guó)境內(nèi)網(wǎng)站頁(yè)面達(dá)到17.8萬(wàn)個(gè)，其中85.4%位于境外。2016 年，我國(guó)境內(nèi)有約8萬(wàn)個(gè)網(wǎng)站被植入后門(mén)，其中有84.9%來(lái)自境外植入，美國(guó)、中國(guó)香港、俄羅斯分列前3位。我國(guó)境內(nèi)約1.7萬(wàn)個(gè)網(wǎng)站被篡改，被篡改主要方式是植入暗鏈[1]。

2017年，我國(guó)網(wǎng)站最大現(xiàn)實(shí)威脅來(lái)自挖礦木馬，最大安全隱患是弱口令問(wèn)題，并且普遍存在。國(guó)內(nèi)網(wǎng)站安全典型事件有某社會(huì)管理服務(wù)機(jī)構(gòu)遭受挖礦木馬攻擊、某知名軟件企業(yè)服務(wù)器遭到惡意部署、某大型機(jī)構(gòu)門(mén)戶(hù)網(wǎng)站頁(yè)面被惡意篡改等。國(guó)外著名的網(wǎng)站安全事件有美國(guó)聯(lián)邦調(diào)查局網(wǎng)站遭到黑客入侵、日本國(guó)內(nèi)有10萬(wàn)余條信用卡信息被泄露、馬士基航運(yùn)公司遭遇勒索軟件損失數(shù)億美元、黑客入侵薩克拉門(mén)托地區(qū)運(yùn)輸局網(wǎng)站30%的文件遭到刪除等，這些事件的涉及各個(gè)行業(yè)各個(gè)領(lǐng)域，需要引起高度的重視。360《2017中國(guó)網(wǎng)站安全形勢(shì)分析報(bào)告》顯示，2017年前10個(gè)月，360網(wǎng)站安全檢測(cè)平臺(tái)共掃出69.1萬(wàn)余個(gè)網(wǎng)站存在安全漏洞，占總掃描網(wǎng)站的66%，其中跨站腳本攻擊漏洞的數(shù)量排名首位，其后是SQL注入漏洞、SQL注入漏洞（盲注）、PHP錯(cuò)誤信息泄露、數(shù)據(jù)庫(kù)運(yùn)行時(shí)錯(cuò)誤等類(lèi)型，教育培訓(xùn)類(lèi)網(wǎng)站、政府機(jī)構(gòu)類(lèi)網(wǎng)站、事業(yè)單位類(lèi)網(wǎng)站存在的漏洞最多。截止到2017年10月，共有79.8萬(wàn)余個(gè)網(wǎng)站遭受了漏洞攻擊，平均每月約有8.0萬(wàn)余個(gè)網(wǎng)站被攻擊，360網(wǎng)站衛(wèi)士共為187.5萬(wàn)個(gè)網(wǎng)站攔截各類(lèi)漏洞攻擊26.4億次，平均每天攔截漏洞攻擊868.9萬(wàn)次，其中SQL注入攻擊排名第一，其后分別是Webshell、通用漏洞、nginx攻擊、跨站腳本XSS、掃描器、信息泄露、代碼注入等。2017年全年，補(bǔ)天平臺(tái)SRC共收錄各類(lèi)網(wǎng)站安全漏洞報(bào)告22706個(gè)，共涉及14416個(gè)網(wǎng)站。其中，排名首位的是SQL注入漏洞，其次分別是命令執(zhí)行、信息泄露、弱口令、代碼執(zhí)行等。DDoS 攻擊主要由受控的僵尸網(wǎng)絡(luò)發(fā)動(dòng)，360威脅情報(bào)中心的數(shù)據(jù)顯示有626.2萬(wàn)余個(gè)IP被攻擊了1064.3萬(wàn)余次[2]。

Trustwave（面向企業(yè)和公共部門(mén)提供信息安全性與遵規(guī)性管理解決方案的全球性供應(yīng)商）發(fā)布的《2017全球安全報(bào)告》顯示，99.7%的應(yīng)用至少存在一個(gè)漏洞，Web應(yīng)用中的平均漏洞數(shù)量為11個(gè)[3]。從OWASP（開(kāi)放式Web應(yīng)用程序安全項(xiàng)目）發(fā)布的2017年Web應(yīng)用威脅Top 10榜單中可以看出，排名榜首仍然是注入攻擊漏洞，其次分別是失效的身份認(rèn)證、敏感信息泄露、XXE漏洞、失效的訪(fǎng)問(wèn)控制、安全配置錯(cuò)誤、跨站腳本XSS、不安全反序列化漏洞、使用含有已知漏洞的組件等，與2013年威脅排名相比，跨站腳本XSS已從第3位下降到第7位威脅程度有所減弱，但失效的訪(fǎng)問(wèn)控制、安全配置錯(cuò)誤、敏感信息泄露等威脅有所上升[4]。美國(guó)Imperva公司在《Imperva 2017 Web應(yīng)用安全報(bào)告》中表示，2017年新發(fā)現(xiàn)Web應(yīng)用漏洞數(shù)量共計(jì)14082個(gè)，與2016年相比增加了212%，有50%以上的Web應(yīng)用存在可以利用的攻擊，跨站腳本（XSS）錯(cuò)誤仍然是最常見(jiàn)、最基本的漏洞[5]。

從以上數(shù)據(jù)可以看出，Web應(yīng)用安全漏洞普遍存在，安全威脅覆蓋各個(gè)地區(qū)、行業(yè)和領(lǐng)域，Web應(yīng)用安全漏洞占比呈現(xiàn)上升趨勢(shì)，且新型安全漏洞不斷涌現(xiàn)。從主要攻擊來(lái)源來(lái)看，絕大部分的攻擊來(lái)自境外，以美國(guó)、中國(guó)臺(tái)灣、中國(guó)香港、荷蘭、俄羅斯等為主。攻擊者的主要目的是非法獲取經(jīng)濟(jì)利益、竊取信息、從事間諜活動(dòng)，以及達(dá)到某種政治目的或主張、實(shí)現(xiàn)某種訴求等，不管是勒索軟件，還是挖礦木馬和惡意程序都是以非法獲取經(jīng)濟(jì)利益為主要目的，并將成為未來(lái)的一種發(fā)展趨勢(shì)。攻擊者的主要手段是利用SQL注入漏洞、跨站腳本XSS、Webshell、遠(yuǎn)程命令執(zhí)行、僵尸網(wǎng)絡(luò)、弱口令、木馬、網(wǎng)站后門(mén)、代碼注入等。受攻擊后的主要表現(xiàn)形式為網(wǎng)頁(yè)被篡改、數(shù)據(jù)被破壞、信息被泄露、遭受DDoS攻擊、運(yùn)行變慢甚至崩潰等。

3 Web應(yīng)用安全威脅分析與防護(hù)

一個(gè)完整的Web應(yīng)用從上到下由操作系統(tǒng)、數(shù)據(jù)存儲(chǔ)、Web服務(wù)器（容器）、Web服務(wù)器端開(kāi)發(fā)語(yǔ)言、Web開(kāi)發(fā)框架、Web應(yīng)用程序、Web前端框架、第三方服務(wù)、瀏覽器等構(gòu)成，通過(guò)URL完成定位，內(nèi)容與信息的傳輸需HTTP支持，內(nèi)容與信息的表達(dá)由HTML支持。Web數(shù)據(jù)在各層次間進(jìn)行傳輸，每一層都有可能帶來(lái)一定的安全問(wèn)題，比如，出現(xiàn)最多SQL注入源于數(shù)據(jù)存儲(chǔ)層的安全問(wèn)題，最基本的跨站腳本（XSS）漏洞存在于Web前端，遠(yuǎn)程命令執(zhí)行的威脅是由于Web開(kāi)發(fā)框架或Web應(yīng)用程序存在問(wèn)題，nginx攻擊是利用了Web服務(wù)器（容器）的漏洞，最底層的操作系統(tǒng)層也存在OS命令執(zhí)行帶來(lái)的安全問(wèn)題。面對(duì)復(fù)雜的安全問(wèn)題，除了加裝通用防火墻、Web防護(hù)設(shè)備、漏洞掃描設(shè)備、堡壘機(jī)等安全設(shè)備之外，還可以針對(duì)主要安全威脅實(shí)施以下防護(hù)措施。

3.1 SQL注入

SQL注入包括代碼層注入、平臺(tái)層注入兩種，利用用戶(hù)輸入過(guò)濾漏洞，將特殊字符作為表單提交參數(shù)或URL參數(shù)傳遞給Web應(yīng)用程序，再利用SQL語(yǔ)句調(diào)用上的漏洞，完成對(duì)惡意SQL語(yǔ)句的執(zhí)行，達(dá)到篡改數(shù)據(jù)、規(guī)避認(rèn)證、非法調(diào)閱、執(zhí)行數(shù)據(jù)庫(kù)關(guān)聯(lián)程序等目的。數(shù)據(jù)庫(kù)安全性配置、數(shù)據(jù)類(lèi)型處理、查詢(xún)集處理、轉(zhuǎn)義字符處理、錯(cuò)誤信息處理等方面存在不合理、不恰當(dāng)?shù)膯?wèn)題是能完成SQL注入的主要原因。SQL注入防護(hù)可以從以下幾點(diǎn)入手：

（1）參數(shù)化查詢(xún)

在進(jìn)行SQL注入時(shí)經(jīng)常會(huì)在用戶(hù)輸入中加上“or+恒真表達(dá)式”來(lái)繞過(guò)認(rèn)證，數(shù)據(jù)庫(kù)系統(tǒng)將用戶(hù)輸入當(dāng)作指令進(jìn)行執(zhí)行，這樣就帶來(lái)了安全問(wèn)題。一種有效的解決策略就是采用預(yù)編譯語(yǔ)句集，數(shù)據(jù)庫(kù)系統(tǒng)和Web開(kāi)發(fā)語(yǔ)言都能支持。首先將SQL語(yǔ)句進(jìn)行編譯，再把用戶(hù)輸入作為指令參數(shù)傳入，避免了將用戶(hù)輸入作為指令來(lái)執(zhí)行，安全性得到了極大的提高。在SQL SERVER中查詢(xún)值前會(huì)加上“@”，在MySQL中查詢(xún)值前會(huì)加上“?”。

（2）使用正則表達(dá)式

使用正則表達(dá)式將用戶(hù)輸入進(jìn)行過(guò)濾，把用戶(hù)輸入中包括單引號(hào)和雙"-"的轉(zhuǎn)換字符及SQL保留字等字符過(guò)濾掉。在JSP中首先要使用“import java.util.regex.*”引入外部包，然后再使用正則表式進(jìn)行檢測(cè)。在.NET中提供了IsMatch（）方法用于判斷字符串與正則表達(dá)式是否匹配，可對(duì)字符串進(jìn)行直接檢測(cè)。

（3）非法字符過(guò)濾

使用函數(shù)對(duì)用戶(hù)輸入、URL中的非法字符進(jìn)行過(guò)濾，比如檢測(cè)過(guò)濾“*、/、\、and、or、insert、delete”等非法字符或字符串。

（4）其他方法

在PHP中使用函數(shù)addslashes（）對(duì)SQL語(yǔ)句進(jìn)行轉(zhuǎn)換、將“register_globals” 設(shè)置成“off”不允許注冊(cè)全局變量。錯(cuò)誤信息不直接輸出到瀏覽器，代碼書(shū)寫(xiě)規(guī)范。

3.2 跨站腳本攻擊（XSS）

在進(jìn)行Web前端開(kāi)發(fā)時(shí)，由于開(kāi)發(fā)者對(duì)用戶(hù)提交信息的缺少必要的限制與過(guò)濾操作，導(dǎo)致用戶(hù)在瀏覽Web頁(yè)時(shí)執(zhí)行攻擊者在該頁(yè)中植入的惡意代碼，達(dá)到劫持會(huì)話(huà)完成用戶(hù)頁(yè)面跳轉(zhuǎn)或破壞站點(diǎn)的目的。XSS通常嵌入在JavaScript中，也有可能嵌入在VBScript、ActiveX等其他腳本中[6]。通過(guò)XSS攻擊，攻擊者可以竊取用戶(hù)Cookie中的授權(quán)信息，冒充授權(quán)用戶(hù)與Web服務(wù)端進(jìn)行會(huì)話(huà)，將惡意代碼存儲(chǔ)到Web應(yīng)用關(guān)聯(lián)的數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)持久性攻擊[7]。跨站腳本攻擊（XSS）的主要防護(hù)方法有：

（1）嚴(yán)格進(jìn)行輸入驗(yàn)證與輸出編碼

該方法是OWASP認(rèn)為最有效的XSS防護(hù)方法，對(duì)從表單、隱藏表單、數(shù)據(jù)庫(kù)中獲得的數(shù)據(jù)及URL中傳遞的參數(shù)等Web應(yīng)用輸入數(shù)據(jù)，在存儲(chǔ)或被顯示之前進(jìn)行類(lèi)型、長(zhǎng)度、語(yǔ)法規(guī)則等方面的驗(yàn)證，對(duì)輸入數(shù)據(jù)進(jìn)行攻擊檢測(cè)與過(guò)濾。對(duì)寫(xiě)入到數(shù)據(jù)庫(kù)與輸出至用戶(hù)瀏覽器端的數(shù)據(jù)等Web應(yīng)用輸出數(shù)據(jù)進(jìn)行entity編碼防止植入腳本在瀏覽器端運(yùn)行。可以使用HtmlEncode進(jìn)行編碼，使用JavaScriptEncode實(shí)現(xiàn)對(duì)特殊字符的轉(zhuǎn)義。

（2）使用HttpOnly防止Cookie會(huì)話(huà)被劫持

設(shè)置Cookie中的HttpOnly屬性為T(mén)ure，防止Cookie被JS腳本訪(fǎng)問(wèn)，保護(hù)Cookie信息免受竊取，防止Cookie會(huì)話(huà)被劫持。

3.3 Webshell

Webshell是由asp、jsp、php等動(dòng)態(tài)腳本語(yǔ)言編寫(xiě)而成，以網(wǎng)頁(yè)形式存在，攻擊者通過(guò)非法手段上傳至Web服務(wù)器，通過(guò)遠(yuǎn)程瀏覽器訪(fǎng)問(wèn)這些后門(mén)網(wǎng)頁(yè)構(gòu)造命令執(zhí)行環(huán)境，達(dá)到取得服務(wù)器操作控制權(quán)的目的。由于Webshell與正常網(wǎng)頁(yè)相似，并采取了一些偽裝措施，經(jīng)常規(guī)避了安全防護(hù)軟件的檢測(cè)。針對(duì)Webshell的主要防護(hù)措施為：

（1）加強(qiáng)文件上傳管理

盡量不使用asp、jsp、php等腳本語(yǔ)言編寫(xiě)的文件上傳程序進(jìn)行文件上傳或文件管理，網(wǎng)站文件管理盡量使用Ftp工具完成。文件上傳采取白名單管理策略，不在許可名單之內(nèi)的IP或用戶(hù)禁此上傳。設(shè)置文件類(lèi)型白名單，對(duì)前臺(tái)文件格式、Content-Type參數(shù)類(lèi)型、服務(wù)器文件類(lèi)型進(jìn)行檢測(cè)，嚴(yán)格控制白名單之外的類(lèi)型上傳，禁止上傳動(dòng)態(tài)腳本文件。對(duì)文件內(nèi)容進(jìn)行檢測(cè)，過(guò)濾一句話(huà)木馬、圖片木馬。

（2）加強(qiáng)服務(wù)器權(quán)限管理

使用訪(fǎng)問(wèn)控制列表（ACL）對(duì)Web目錄的各種權(quán)限進(jìn)行嚴(yán)格控制，所有Web應(yīng)用都不運(yùn)行在超級(jí)用戶(hù)之下，同一服務(wù)器多個(gè)站點(diǎn)之間配置不同的用戶(hù)權(quán)限。在Windows系統(tǒng)中，系統(tǒng)敏感目錄和Web目錄只有超級(jí)用戶(hù)具有寫(xiě)入權(quán)限，其他寫(xiě)入權(quán)限分配合System用戶(hù)；分配給Web匿名賬戶(hù)只有讀取文件的權(quán)限，限制上傳目錄只有寫(xiě)入權(quán)沒(méi)有執(zhí)行權(quán)。在Linux系統(tǒng)中，TOMCAT、WEBLOGIC、WEBSPHERE等Web容器不以超級(jí)用戶(hù)直接運(yùn)行，而是運(yùn)行在經(jīng)過(guò)特殊安全配置的用戶(hù)之下。

（3）其他安全防范措施

使用IIS容器的要禁用WebDEV，防止攻擊者利用iisput工具上傳websheell文件，必須開(kāi)啟WebDEV的必須選用安全的驗(yàn)證方式對(duì)訪(fǎng)問(wèn)用戶(hù)進(jìn)行身份驗(yàn)證。使用ftp進(jìn)行網(wǎng)站文件管理的，禁止使用匿名訪(fǎng)問(wèn)，并不將Serv-U安裝在默認(rèn)路徑。在Windows平臺(tái)下，對(duì)cmd.exe、net.exe、netstat.exe、ftp.exe、telnet.exe等命令進(jìn)行嚴(yán)格的使用權(quán)限管理或?qū)ζ溥M(jìn)行改名處理。最后還可以使用NeoPI、LOKI、Shell Detector、D盾、360主機(jī)衛(wèi)士等專(zhuān)業(yè)工具進(jìn)行檢測(cè)查殺。

3.4 遠(yuǎn)程命令執(zhí)行

攻擊者利用Web開(kāi)發(fā)框架的漏洞或Web應(yīng)用在開(kāi)發(fā)時(shí)對(duì)exec（）、eval（）等特殊可執(zhí)行函數(shù)入口未做過(guò)濾操作的漏洞，通過(guò)瀏覽器提交和執(zhí)行惡意構(gòu)造代碼。對(duì)于因開(kāi)發(fā)框架存在漏洞引起的遠(yuǎn)程命令執(zhí)行安全威脅（如Struts2遠(yuǎn)程命令執(zhí)行漏洞）只能通過(guò)安裝漏洞補(bǔ)丁的方法來(lái)解決。Web應(yīng)用開(kāi)發(fā)禁止使用用戶(hù)傳入?yún)?shù)調(diào)用系統(tǒng)函數(shù)，在Web前端和服務(wù)端對(duì)輸入數(shù)據(jù)和輸出數(shù)據(jù)進(jìn)行數(shù)據(jù)內(nèi)容、類(lèi)型、長(zhǎng)度等進(jìn)行檢測(cè)和過(guò)濾，最好對(duì)用戶(hù)輸入數(shù)據(jù)進(jìn)行編碼處理，同時(shí)對(duì)從數(shù)據(jù)庫(kù)取出的數(shù)據(jù)進(jìn)行必要的安全檢測(cè)。

3.5 nginx攻擊

nginx是一種高性能、輕量級(jí)的Web服務(wù)器軟件，nginx攻擊是指當(dāng)nginx在處理輸入輸出數(shù)據(jù)時(shí)誤將一些數(shù)據(jù)當(dāng)作指令來(lái)執(zhí)行，以及一些不安全的配置而引起的DDoS流量攻擊和遠(yuǎn)程溢出等安全問(wèn)題。使用正則達(dá)表式對(duì)URL參數(shù)、user-agent信息進(jìn)行匹配將“scan、echo、nmap”等特殊字符或關(guān)鍵字進(jìn)行過(guò)濾。在nginx.conf中限制客戶(hù)端可用緩沖區(qū)的大小防范緩沖區(qū)溢出攻擊。利用nginx自帶http_limit_conn和http_limit_req模塊限制單IP連接數(shù)和請(qǐng)求數(shù)，同時(shí)配合黑白名單，對(duì)DDoS攻擊進(jìn)行防范。訪(fǎng)問(wèn)網(wǎng)站必須使用域名防范IP掃描。

4 結(jié)束語(yǔ)

以上從我國(guó)的網(wǎng)絡(luò)安全背景、國(guó)際國(guó)內(nèi)網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全攻擊形式與方式等方面分析了Web應(yīng)用所面臨的安全形勢(shì)，介紹了SQL注入、跨站腳本攻擊（XSS）、Webshell、遠(yuǎn)程命令執(zhí)行、nginx攻擊等幾種主要的攻擊手段和防護(hù)措施，需要Web應(yīng)用開(kāi)發(fā)者、運(yùn)營(yíng)者和使用者，從多方面著手加強(qiáng)安全防護(hù)，維護(hù)好廣大用戶(hù)的權(quán)益。

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2016年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M].北京：人民郵電出版社，2017：15-25.

[2]360威脅情報(bào)中心. 2017中國(guó)網(wǎng)站安全形勢(shì)分析報(bào)告[EB/OL].http：//zt.#/1101061855.php?dtid=1101062368&did=490995546，2018-01-23.

[3]安全優(yōu)佳．2017全球安全報(bào)告：Web應(yīng)用中平均包含11個(gè)漏洞[EB/OL] .http：//www.sohu.com/a/151620330_ 765820，2017-06-24.

[4]劉亞瓊.2017 Top 10 Web 應(yīng)用安全威脅，你的企業(yè)正在經(jīng)歷哪些？[EB/OL].http：//blog.csdn. net/u013424982/article/details/78700928，2017-12-03日.

[5] darkreading. 2018年1月4日 Imperva 2017 Web應(yīng)用安全報(bào)告新出現(xiàn)的Web應(yīng)用漏洞增長(zhǎng)212%[EB/OL].http：//toutiao. secjia.com/2017-web-application-vulnerabilities，2018-01-04.

[6]竇浩，武艷文，段升強(qiáng). Web應(yīng)用安全風(fēng)險(xiǎn)防護(hù)分析與防護(hù)研究[J].西安建筑科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2012（3）：446-451.

[7]龍興剛. Web 應(yīng)用的安全現(xiàn)狀與防護(hù)技術(shù)研究[J].通信技術(shù)，2013（7）：63-66.