浅谈Web应用程序的安全性问题及漏洞研究

256

1、引言

在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基子Web的攻击和破坏的增长，安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面，Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的程序，如果这台计算机安全的话，那么应用程序就是安全的。如今，情况大不一样了，Web应用程序在多种不同的机器上运行：客户端、Web服务器、数据库服务器和应用服务器。而且，因为他们一般可以让所有的人使用，所以这些应用程序成为了众多攻击活动的后台旁路。

随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。

2、Web 安全的主要技术

安全是网络赖以生存的保障，只有安全得到保障，网络才能实

现自身的价值。Web安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是Web安全的重要防线。

2.1 认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

2.2 数据加密

加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。

2.3 防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。

3、Web 安全问题的由来

网络设计之初仅考虑到信息交流的便利和开放，而对于保障信

息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术循环递升，原来网络固有优越性的开放性和互联性变成信息的安全性隐患之便利桥梁。Web安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。

目前所运用的TCP/IP协议在设计时，对安全问题的忽视造成网络自身的一些特点，而所有的应用安全协议都架设在TCP/IP之上，TCP/IP协议本身的安全问题，极大地影响了上层应用的安全。网络的普及和应用还是近10年的事，而操作系统的产生和应用要远早于此，故而操作系统、软件系统的不完善性也造成安全漏洞；在安全体系结构的设计和实现方面，即使再完美的体系结构，也可能一个小小的编程缺陷，带来巨大的安全隐患；而且，安全体系中的各种构件间缺乏紧密的通信和合作，容易导致整个系统被各个击破。

4、Web 安全问题对策的思考

Web安全建设是一个系统工程、是一个社会工程，Web安全问题的对策可从下面4个方面着手。

Web安全的保障从技术角度看。首先，要树立正确的思想准备。Web安全的特性决定了这是一个不断变化、快速更新的领域，况且我国在信息安全领域技术方面和国外发达国家还有较大的差距，这都意味着技术上的“持久战”，也意味着人们对于Web安全领域的投资是长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息安全存在的突出问题是人才稀缺、人才流失，尤其是拔尖人才，同时Web安全人才培养方面的投入还有较大缺欠。最后，在具体完成Web安全保障的需求时，要根据实际情况，结合各种要求（如性价比等），需要多种技术的合理综合运用。

Web安全的保障从管理角度看。考察一个内部网是否安全，不仅要看其技术手段，而更重要的是看对该网络所采取的综合措施，不光看重物理的防范因素，更要看重人员的素质等“软”因素，这主要是重在管理，“安全源于管理，向管理要安全”。再好的技术、设备，而没有高质量的管理，也只是一堆废铁。

5、结语

我们在欢呼Web应用程序的迅速发展所带给我们得更加愉快

地用户体验的同时必须看到，Web应用程序的安全性也正在变得越来越复杂。而Web应用程序的跨平台和公来访问特点，使得互联网上所有可以访问该Web应用程序的用户都可能成为潜在的攻击者，所以Web应用程序的安全性控制可谓任重而到远。在尽快加强网络立法和执法力度的同时，不断提高全民的文明道德水准，倡导健康的“网络道德”，增强每个网络用户的安全意识，只有这样才能从根本上解决Web安全问题。参考文献

[1]刘宗田.WEB 站点安全与防火墙[M].技术机械工业出版社,1996.[2]马恒太.Web 服务安全[M].电子工业出版社,2007(12).

浅谈Web 应用程序的安全性问题及漏洞研究

李志欣

(大庆油田有限责任公司第十采油厂信息中心 黑龙江大庆 1605)

摘要：Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险，但有许多方法可以帮助减轻这一危险。本文 研究了Web应用程序的漏洞，探讨了Web安全的现状及问题由来以及几种主要Web安全技术，提出了实现Web安全的几条措施。

关键词：Web应用程序 安全 漏洞中图分类号：TP393文献标识码：A 文章编号：1007-9416(2012)12-0256-01