WEB安全研究金丽君摘要:本文主要针对WEB安全问题越来越引起人们的重视这一现状,初步地介绍了国内外对WEB安全问题的研究现状,全面地介绍和分析了WEB服务和应用中存在的各种威胁,并探讨了WEB安全问题的防护对策,来提高计算机网络的安全性。
关键词:WEB安全、安全威胁、安全防护Abstract:This article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.一、引言1.1研究背景及目的随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险,网上信息的安全和保密是一个至关重要的问题。
网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性,计算机网络的安全以及防范措施已迫在眉睫。
网络安全评估技术是评价计算机网络安全的重要手段,现今在众多的安全技术中已经占据越来越重要的位置。
通过风险评估,对系统进行细致而系统的分析,在系统分析的基础上对系统进行综合评价,最后通过评价结果来了解系统中潜在的危险和薄弱环节,并最终确定系统的安全状况,为以后的安全管理提供重要依据。
随着Internet的普及,人们对其依赖也越来越强,但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。
WWW服务作为现今Internet上使用的最广泛的服务,Web站点被黑客入侵的事件屡有发生,Web安全问题已引起人们的极大重视。
本课题是基于Web安全的这一现状,来对Web服务器安全进行研究,通过WEB安全扫描来减小网络漏洞对服务器造成的威胁。
1.2 WEB安全国内外研究现状目前和相当一段时间内,国内外关于Web安全的研究主要从安全协议的制定、系统平台的安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手。
安全协议的制定方面,已经提出了大量实用的安全协议,具有代表性的有:电子商务协议SET,IPSec协议,SSL/TLS协议,简单网络管理协议SNMP, PGP协议,PEM协议,S-HTTP协议,S/MIME协议等。
这些协议的安全性分析特别是电子商务协议,IPSec协议,TLS协议是当前协议研究中的热点。
系统平台的安全方面主要研究安全操作系统、安全数据库等,以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置;还有就是针对黑客常用的攻击手段制定安全策略。
网站程序的安全编程方面,主要研究规范化编程以及现有编程语言(ASP,,PHP,CGI,JSP等)的安全配置和发布增加功能与安全性的新版本。
安全产品的研发方面,目前在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等;在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。
Web服务器的安全控制方面,主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置,如Apache的访问控制机制、安全模块,IIS的安全锁定等。
1.3 国内外对扫描系统的研究现状1.3.1 国外研究现状在使用漏洞扫描技术来确保网络安全方面,国外的研究工作起步较早。
历史上的第一个扫描器War Dialer,实现了自动扫描功能,并且以统一的格式记录扫描结果。
这是扫描技术上取得的极大的发展,推动了网络安全性能的发展。
1990年,美国国家标准局启动了针对当时的操作系统脆弱性问题进行研究的Research In Secured Operating Systems项目在美国伊利诺伊大学发表了关于软件漏洞的调查报告年。
1992年,Chris Klaus编写了一个扫描工具ISS(Internet security scanner 网络安全扫描器),它是在因特网上进行安全评估扫描最早的工具之一。
1993年,美国海军研究实验室收集了不同操作系统的安全缺陷,然后对每一缺陷按其来源、成因、发现时间和部分代码进行分类。
1995年,在Dan Farmer和Wietse Venema编写的SATAN(security administrator tool for analyzing networks基于网络的安全管理工具)扫描引擎的带动下,促进了安全扫描技术的发展,并推动一些安全检测产品的产生。
1996年,普渡大学COAST实验室的Taimur、Aslam、Ivan Krsul和Eugene H.Spaford第一次高水平地定义了缺陷的范围,漏洞分类方法被第一次用于该实验室的漏洞库。
开始时由一些个人收集漏洞,后来这项工作变成CERIAS(The Center for Education and Research In Information Assurance and Security 信息、保障和安全教育研究中心)的研究项目。
同时,一些国家纷纷建立安全组织和机构来关注网络安全的问题,特别是对漏洞检测和评估方面:CNCERT/CC是一个网络安全问题的主要研究中心,由美国国防部资助,目的是在网络安全问题发生时,快速有效协调专家处理互联网社区的安全问题。
US.CERT将和NCSD一起工作,阻止和减轻网络攻击,并减少网络漏洞。
该机构成立的初衷是借助CNCERT/CC的能力加速美国对网络事件的响应。
Symantec是互联网安全技术的全球领导厂商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案。
基于网络的漏洞和风险评估开发的NetRecon是一个基于网络的漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。
Nessus是一种有多种功能的强大工具,是由法国巴黎Renaud Derasion和另外两个黑客编写的。
Nessus是一种用来自动检测和发现已知安全问题的强大工具,它的设计用来帮助IT相关人员在黑客对这些漏洞进行利用前确定和解决这些己知安全问题的。
Nessus是第一个在志愿的基础上由黑客开发的扫描程序。
1.3.2 国内研究现状国内在扫描技术方面起步较晚,是在国外扫描技术的基础上发展起来的,在研究方面取得了一定的成果,但与国际水平相比,还存在着一定的差距,对漏洞扫描技术的研究相对要缓慢一些,还有一个需要高速发展的阶段。
目前,从事漏洞检测与评估系统的组织机构主要是一些网络安全公司,有这些公司开发并且使用广泛的有著名的奇虎360安全卫士,金山清理专家和瑞星系统安全漏洞扫描系统。
1.3.2.1 360安全卫士是由奇虎公司推出的完全免费的安全类上网辅助工具软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,系统实时保护,修复系统漏洞等功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,为用户提供系统安全保护。
1.3.2.2 金山清理专家是有金山软件公司开发一款免费清理软件,它能扫描系统中的恶意软件、系统漏洞、病毒、可疑文件等情况,并在检测后根据系统情况提供系统漏洞补丁,IE修复等功能,从一定程度上修复操作系统和应用程序漏洞,降低了安全风险。
1.3.2.3瑞星系统安全漏洞扫描系统是由瑞星公司从杀毒软件中分离出来,对Windows系统存在的系统漏洞和安全设置缺陷进行检查,并提供相应的补丁下载和安全设置缺陷自动修补的工具,为用户提供系统漏洞扫描,病毒查杀,未知病毒检测等功能,从而保障用户信息安全的防御体系。
二、WEB安全概述2.1 WEB安全定义WEB作为建立在Internet基础上的应用,WEB安全的定义不可避免地与网络安全和信息安全概念相重叠,其内涵和外延可看作网络安全和信息安全的一个子集。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。
[1]国家信息安全重点实验室对信息安全给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。
综合起来说,就是要保障电子信息的有效性。
”据此我们给WEB安全做出如下定义:WEB安全是指信息在网络传输过程中不丢失、不被篡改和只被授权用户使用,包括系统安全、程序安全、数据安全和通信安全。
2.2 WEB的安全威胁来自网络上的安全威胁与攻击多种多样,依照WEB访问的结构,可将其分类为对WEB服务器的安全威胁、对WEB客户机的安全威胁和对通信信道的安全威胁三类。
2.2.1 对WEB服务器的安全威胁对于WEB服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。
WEB服务器上的漏洞可以从以下几方面考虑:2.2.1.1在WEB服务器上的机密文件或重要数据(如存放用户名、口令的文件)放置在不安全区域,被入侵后很容易得到。
2.2.1.2在WEB数据库中,保存的有价值信息(如商业机密数据、用户信息等),如果数据库安全配置不当,很容易泄密。
2.2.1.3 WEB服务器本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要的数据,甚至造成系统瘫痪。
2.2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。
用CGI脚本编写的程序中的自身漏洞。
2.2.2对WEB客户机的安全威胁现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。
网页的活动内容是指在静态网页中嵌入的对用户透明的程序,它可以完成一些动作,显示动态图像、下载和播放音乐、视频等。
当用户使用浏览器查看带有活动内容的网页时,这些应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。
主要用到Java Applet和ActiveX技术。
Java Applet使用Java语言开发,随页面下载,Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制Java Applet的活动,它不会访问系统中规定安全范围之外的程序代码。