浅谈Web应用安全防护

２００８＿０８

浅谈Ｗｅｂ应用安全防护

一浙江省公安厅网络警察总队王火剑

【摘要】随着网络技术的应用普及，信息网络安全开始深入人心。本文主要介绍ｗｅｂ应用安全技术履防范措施，希望能对ｗｅｂ应用系统安全加固起到一定的借鉴意义。

【关键词】ｗｅｂ应用安全防护

１引言

自上世纪九十年代以来，随着企事业单位数字化、网络化的推进和互联网的广泛流行，网络安全这个名词开始深入人心。应该承认，在网络化和互联网化开始之初足个漏洞百出的年代，从微软操作系统漏洞到ＩＩｓ、ｆｔｐ、ｓｑｌｓｅｒｖｅｒ的溢出攻击，端口过滤、网络入侵检测和防病毒一度成为网络安全的代名词，也是我们俗称的网络安全“老三样”。随着嘲络防火墙、入侵检测以及防毒墙的广泛部署和应用，人们开始关注一个问题：安全事件似乎仍然层出不穷，新的主流威胁到底在哪里？

２００７年初全美ＲｓＡ安全大会得出“ｗｅｂ应用安全代替网络安全成为全球最大安全威胁”结论的时候，国内许多信息安全人士还对这个结论将信将疑。同时，我们利用应用深度风险检测平台累计对浙江省数百家重点网站进行了整体安全评估或预评估，其中，７０％网站存在严重的安全问题，且行业分布非常广泛（如下图示），而且漏洞类型分布也从侧面验证了ｗｅｂ应用安全的重要性。

（图一）

发现问题的网站漏洞类型分布图

（图二）

据美国权威ｗｅｂ安全非赢利组织ＯｗＡｓＰ在２００７年上半年发布的ｌｏ大ｗｅｂ应用脆弱性排名显示，“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响ｗｅｂ应用安全的首要问题。据国家计算机网络应急技术处理协调中心的统计数据显示，２００７年上半年中国的互联网安全状况仍不容乐观，各种网络安全事件与２０（）６年同期相比都有明显增加，被植入木马的主机数量大幅攀升，ｗｅｂ应用安全形势不容乐观。下面将从攻击行为、应用风险、攻击手段和安全防范等方面浅谈—下ｗ曲应用安全。

２Ｗｅｂ攻击行为分析

黑客，通常是指有一定编程技术、有能力修改或增强计算机系统功熊甚至自制病毒程序的人。黑客有很多种，一种是破坏别人电脑系统的；一种是窃取别人帐号的，例如网络游戏帐号。还有一些就是帮助别人的，也就是反黑客的人，专门破坏黑网站或是破坏别人病毒的。

ｗｅｂ攻击行为也属于黑客攻击的一种方式，目前从事　万方数据