網絡層及web應用層的安全技術研究(三)

磁盤讀寫操作 操 悅孕哉

用 網絡連接請求

系

應 勻隕孕雜 作

程 內存讀寫操作 統 內存

序 注冊入口操作 內 隕轅韻

核

圖圓  勻隕孕雜 工作原理圖

                             圖3

在一些 HIPS 中, 代理程序根據攻擊特征庫或者攻擊行為庫進行檢測。它也能夠根據已知正常行為庫或者針對某一特殊服務的規則進行檢測。不管是什么方式, 只要系統調用超出了它的正常范圍, 軟件代理就要終止這個進程。

四．研究web應用安全的產生及防護措施

  4.1 Web 應用的安全現狀

     一般說來，在Web安全領域，常見的攻擊方式大概有以下幾種：

      1、SQL注入攻擊

      2、跨站腳本攻擊 - XSS

      3、跨站偽造請求攻擊 - CSRF

      4、文件上傳漏洞攻擊

      5、分布式拒絕服務攻擊 - DDOS

 

為了保障 Web 應用的安全，人們通常會在各個工作層面部署自己的安全策略，在客戶端機器安裝防病毒軟件來保護計算機的安全；使用 SSL（安全套接層）技術對傳輸數據進行加密；搭建防火墻和 IDS（入侵診斷系統）/IPS（入侵防御系統）來過濾一些非法的訪問等等。

表單提交注入到 web 應用中，在瀏覽器客戶端執行。例如，我們在一個沒有經過安全設計的留言板在正文輸入這樣的代碼：

<script>alert(document.cookie);</script>

而當用戶打開這一個留言時 IE 便會彈出一個警告框，內容顯示的是瀏覽者當前的 cookie 串。試想如果注入的不是以上代碼，而是一段精心設計的惡意腳本，當用戶瀏覽這個留言時，cookie 信息就可能被攻擊者獲取。此時用戶的帳號就很容易被攻擊者掌控。

簡要的解決方案：

1、控制腳本注入的語法要素

在程序開發的過程中，注意控制腳本注入的語法要素。如：java script 語句離不開“<”、“>”、“(”、“）”、“;”等字符，所以我們輸入或輸出時要對其進行字符過濾或轉義處理。

2、控制輸入字符中長度

允許可輸入的字符串長度限制也可以一定程度上控制腳本注入，比如：頁面表單中姓名，只允許輸入５個字符，那么 java script 的腳本注入就無效了。

3、設置 web 服務端驗證策略

對瀏覽器提交給 Web 應用的請求信息，要在 Web Server 端再做一次安全驗證，而不是僅僅使用客戶端腳本去做簡單的檢查。因為真正的攻擊者不會僅僅依賴于瀏覽器去做攻擊，而更多的往往是借助于第三方工具，從而輕易地繞過客戶端腳本過濾、驗證或限制等手段。

  

4.2 Web 安全防護措施

 做好 Web 應用的基礎防護對 WEB 服務器安全來說至關重要，好的防護措施能夠讓服務器抵擋 80%以上的漏洞攻擊。防護措施的實施包含操作系統層面和應用程序層面兩部分，每部分都不可或缺，直接決定著整個 WEB 系統的整體安全。

4.2.1  操作系統安全防護措施

   

   操作系統是抵御 WEB 非法攻擊的第一道防線，保護操作系統的安全對 Web 的安全非常重要。

1．實時更新系統補丁。及時更新系統補丁，避免惡意攻擊者使用系統漏洞進行攻擊。

2．關閉不必要的通訊端口。端口是攻擊者的入侵大門，關閉不必要的通訊端口，可以減少入侵的通口。

3．規范的密碼管理制度。服務器上各種登陸密碼，應統一生成，集中管理。

4．謹慎安裝系統組件和軟件，關閉所有不必要的服務以減少安全隱患。

5、按最小權限原則對文件系統進行設置，這是避免提權操作和跨站腳本攻擊的好辦法。

4.2.2 應用程序的安全防護

應用程序安全包含 WEB 服務軟件的安全和在其之上運行著的業務系統代碼安全。相對于操作系統的安全防護，做好應用程序安全的技術要求更高。

1．部署安全可靠的 Web 應用程序。Web 應用程序安全設計的目的是消除漏洞，所以設計人員必須對 Web 應用的開發有一套詳細、周密的思路，對 Web 頁面進行有意識的驗證和加密處理，而不是單單只為了實現某功能。同時，部署安全的 Web 應用才能真正解決 Web 應用層面上的安全問題。

2．根據業務系統的需要，配置安全的 WEB 服務。如關閉執行程序權限，控制業務系統讀寫磁盤權限等。

3．建立 Web 防御檢測系統。采用 Web 防御檢測系統實時監控 Web 應用的運行狀況，第一時間掌握 Web 應用的安全動態，以便做出相關的措施，把安全風險降至最低。

4．安裝防病毒軟件。防病毒軟件可以防止黑客通過漏洞上傳病毒文件至服務器，同時也能對正常維護過程中可能感染病毒的操作進行監控，確保服務器上的文件是安全無毒的。

    5．建立用戶分級和審核制度，區分系統管理員和普通用戶，設置健壯的密碼。

4.3 應急措施

1、不良信息事故緊急處理措施

(1)一旦發現出現不良信息（或者被黑客攻擊修改了網頁），立刻關閉 Web 應用，并備份不良信息出現的目錄、一個星期內的 HTTP 連接日志及網絡連接日志。隔離出現不良信息的目錄，使其不能再被訪問。

(2)刪除不良信息，并清查整個網站所有內容，確保沒有任何不良信息，重新開通網站服務，并測試網站運行。

(3)修改不良信息目錄名，對該目錄進行安全性檢測，升級安全級別，升級程序，去除不安全隱患，關閉不安全欄目，重新開放該目錄的網絡連接，并進行測試，正常后，重新修改該目錄的上級鏈接。

(4)全面查對 HTTP 日志，防火墻網絡連接日志，確定該不良信息的源 IP 地址，并協助向公安機關報案。

從事故一發生到處理事件的整個過程，必須保持向領導小組組長匯報、解釋此次事故的發生情況、發生原因、處理過程。