摘 要:本文论述了在当前的网络环境中,网站安全所处的一个安全位置,着重介绍了网站所面临的一些威胁和对消灭威胁的一些手段。 关键词:web;网站;安全 1、web安全的兴起 Web是互联网的核心,也是未来云计算和移动互联网的最佳载体,因此web安全也是公司安全业务中最重要的组成部分。因为web安全的重要性,所以web也是黑客攻击的主要所在。Web的攻击技术的发展也可以分为几个阶段。期初人们更多的是关注服务器端的动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限。紧接着就是SQL注入攻击的出现,这种攻击可以说是web安全史上的一个里程碑,通过SQL注入攻击,可以获取很多重要的资料、敏感数据,甚至能够通过数据库获取系统的访问权限,所以web攻击一下子就流行了起来。 2、Web攻击手段 目前主流的web攻击手段比较多,比如网络蠕虫攻击、跨站脚本攻击、挂马攻击、cookie攻击、拒绝服务攻击、钓鱼攻击、SQL注入攻击,其中大多数的攻击核心就是web服务器存在漏洞。主要的一个流程,并且是最常用的一个流程就是通过攻击web应用,间接的攻击web平台,然后通过提权的方式获取最高权限,达到最终攻击数据库的目的,提取有用的数据。 图1:web攻击图 2.1 SQL注入攻击 这种攻击手段是攻击者经常利用的手段之一,在网站和应用程序编写的时候,很多程序员因为没有考虑到安全问题,对程序语言的语法没有经过细心的审核,使得代码存在风险,这就给攻击者留下了攻击的途径,攻击者首先通过自己提供的一些数据来判断是否可以进行SQL注入攻击,发现了web服务器存在的漏洞以后,进行注入攻击,然后提权,最终掌控数据库。 2.2其他攻击手段 除了以上攻击手段以外,还有很多攻击方法,比如跨站攻击(XSS攻击),攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。网站挂马,导致用户形象被破坏:攻击者通过在正常的页面中(通常是网站的主页)插入一段代码,上网者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制上网者的主机。等一些攻击方法。 3、Web安全防护手段 Web攻击的核心就是网站存在漏洞,因此围绕这个核心,web安全防护可以分为三个阶段,首先就是攻击发生之前,对网站存在的漏洞进行扫描并且进行解决。其次就是在web攻击发生的时候能够及时的阻断攻击行为,保证网站的安全。最后就是在攻击行为发生了以后,保证内部数据的安全,确保不会因为攻击行为而造成数据的泄露。 3.1攻击发生前 在攻击没有发生的时候,可以通过一系列的手段减少web服务器存在的漏洞数,比如在网站建设前期,使用安全的代码编写方式,就可以减少漏洞存在的数量,如果web服务器已经上线,那么可以通过一些安全的扫描产品,对web服务器进行安全扫描,主动的发现web存在的漏洞情况,然后根据扫描结果对存在的漏洞进行修复,达到减少漏洞的目的。 3.2攻击发生时 在整个安全防护过程中,攻击发生前的防护行为,是从根本上解决web攻击,但是实际情况下,漏洞是没有办法做到百分之百的修复的,因此攻击正在发生的时候,采取在线防护的手段是必不可少的web防护。 在攻击发生的时候,通过部署专业的web防护安全设备,来进行web服务器的在线防护,首先在网站出口处,可以通过抗拒绝服务设备,来进行DDoS攻击的防护,确保web服务器不会受到DDoS、DoS攻击,确保网站能够持续运行,而且避免网络出口的堵塞。其次在web服务器前端部署专业的web防护产品,对web服务器进行专业的防护,实时过滤HTTP请求中混杂的网页攻击流量(如SQL注入、XSS等),保证网页处于健康状态,避免网页篡改、网页存在钓鱼链接、网页被挂马等现象。 3.3攻击发生后 攻击发生后,能够采取一定的措施,保证即使攻击者攻入到内部网络,也无法对重要的数据和敏感信息进行操作和盗取,比如一些非法下载的限制,webshell的防护,敏感数据的过滤等,通过一整套的攻击前、攻击时、攻击后的防护手段,可以确保网站的安全性提高很大的空间,有效减少因为web遭受攻击而带来的巨大损失。 4、总结 就目前的web安全防护现在而言,已经初步进行了web安全的规划,但是安全是一个长期的过程,需要与时俱进,掌握最新的安全防护方法,及时进行web安全的防护,才能有效的保证web服务的安全性。 对于web的安全,除了一些防护手段以外,一个良好的运维习惯和工作习惯也很重要,在平常内部办公的时候,注意安全操作习惯,在运维web服务器的时候,养成良好的配置习惯,都可以保证web的安全性。 参考文献: [1]吴翰清.白帽子讲web安全[M].北京:中国电力出版社,2003 [2]陈建平.Web前端黑客技术揭秘[M].电子工业出版社,2013.1 [3]丁建伟.网站入侵与脚本攻防修炼[M].肖遥出版社,2008.2