2022年Web应用开发时需要注意哪些方面的安全问题以及相应的对策 .pdf

摘要：Web页面是所有互联网应用的主要界面和入口，各行业信息化过程中的应用几乎都架设在 Web平台上，关键业务也通过Web 应用程序来实现， Web应用程序的安全性变得越来越重要。Web 应用本身具有一些的安全弱点，其安全漏洞常被利用来攻击。 Web应用程序的安全问题是一个复杂的综合问题，在Web应用程序开发阶段就应予以重视，分别从数据库设计、程序设计、Web 服 务器等三个层面去考虑如何加强Web应用程序的安全性。随着网络技术的快速发展，越来越多的web 应用件被用于Internet 中。对于Web 应用软件而言，是一种借助Internet 技术加以连接的客户/服务器软件，并且可以传输数据。在市场需求的不断推动下，Web 应用软件的种类与数量也不断增加，软件的复杂程度也不断增加，软件的质量与安全问题已成为人们越来越关注的问题。对于该软件的服务而言，包括邮件服务、电子公告牌、网上商店以及数据库管理工具。对于这些服务的提供，使得系统在运行过程中暴露出越来越多的弱点，这也意味着web 应用软件将面临着较为严重的安全隐患。为此，在今后的工作过程中，应对Web 应用软件的安全现状进行分析，并提出有针对性的应对措施，以提升Web 应用软件的运作安全水平。1 Web 应用安全认识误区及安全现状1.1 安全认识误区为了确保Web 应用安全，人们多在各个工作层面部署属于自己的安全策略，如安装杀毒软件 来确保计算机运行安全，采用 SSL技术对所传输的数据加密处理，并搭建防火墙来过滤一些不安全访问信息。对于这些防护措施而言，虽然可以将不必要暴露的端口进行关闭，对一些非法信息进行过滤处理，但仍然不能保障Web 应用安全。 对于 Web 服务所依赖的80和 443 端口而言，必须是开放的， 然而防火墙却不能正确辨认出端口所传输的信息是否安全，当访问通过防护措施时，Web 应用就会完全暴露在用户面前。而针对应用面层的攻击而言，可以很轻易地突破受防火墙保护的网站。如对较为常见的SQL 注入攻击表现层面而言，几乎是普通的数据交互查询。而对于防护系统而言，它也是较为正常的访问链接，并且判断不出其所存在的恶意攻击。因此对于搭建防火墙、安装杀毒软件以及SSL加密等处理措施都不能完全保障Web 应用的安全。1.2 Web 应用安全现状最新的网络安全统计数据表明，累计每天都有超过12 亿人次的网民受到木马攻击，并且有大量的流行软件、大型网站被“ 挂马 ” ，并且每年都呈现出明显的大幅度增长趋势。由此可以看出， 现阶段的互联网仍然非常脆弱，90%左右的木马病毒都以“ 挂马 ” 的形式进行传播。而这些问题的额产生，在很大程度上源于web 安全领域的问题，如后台服务器的不安全设置、系统漏洞、Web 应用程序实现代码缺陷等，给不法分子以可乘之机。而对于这些隐患而言， 75%左右的攻击都出现在Web 应用程序本身，这也是用入侵检测系统、防火墙 以 SSL所无法应对与解决的。2 确保 Web 应用安全的防护措施2.1 确保操作 系统安全 的效 安全防护 措施操作系统作为抵御非法攻击的第一道防线，对确保 Web 的安全发挥着非常重要的作用。对于操作系统的防护措施而言，主要包含以下几个方面： （1） 对系统补丁进行实时更新升级，防止不法分子依靠系统漏洞 进行攻击。（2）对不必要的通讯端口进行关闭处理，以有效降低恶意攻击的入侵通口。 （3）对密码管理制度进行规范处理。对服务器上的各个登录密码进行统一生成与集中处理。 （4）在进行软件与组件安装时，应认真谨慎，关闭不必要的服务器，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 以有效降低安全隐患。 （5）遵循最小权限原则设置文件系统，以有效避免跨站脚本攻击与提权操作。2.2 网络与通信信道防护网络作为系统防护的第一门户，直接面对着大量的外部访问请求。提升网络安全性，能有效防御基于TCP/IP的恶意攻击。对于本层的防护技术而言，主要立足于网络层的端口、协议等，在保障通信畅通的前提下，应尽可能对系统进行防护处理。边界路由器、网络 防火墙、核心交换机等都能实现对网络层端口、协议等层面的安全保护。对于防火墙而言，可作为网络通信的Port 开关，只对必要的通信端口开放，能有效屏蔽大量病毒的端口，并可将较为重要的Web 纳进隔离区进行防护。对于边界路由器、核心交换机设备而言，都有基 ACL的访问控制单元。为此，建立起相对比较完善的访问控制表，并结合企业内部的IP 管理，能对大量非正常访问的数据包进行过滤处理。在此过程中，还可将安全网关、防病毒墙、IDS/IPS以及网站保护墙等部署在Web 服务器 前面，能屏蔽大量的入侵攻击。对于通信信道的防护措施而言，可在较为安全的环境中，以HTI/PS协议来代替HTFP协议。并利用SSL来保证安全传输文件，通过Web 服务器与客户端浏览器之间构建起一条安全通信信道，能有效确保信息在Interact 中传送的完整性与保密性。2.3 Web 应用主机防护措施主机平台的安全性是确保应用程序安全的前提，因此必须采取相应的措施确保Web 应用主机的 安全 。同时，对于主机平台的安全而言，包括主机 系统安全 与 Web 组件系统安全。（1）对于Web 主机系统的安全设置而言，主要包括以下几个方面： 确立系统安全策略设置，设置目录及磁盘访问权限。 将默认共享的空链接关闭，将不必要的端口也进行关闭处理。 限制匿名用户对本机的访问，并设置相应的用户执行权限。 安装策略最小化处理， 将不必要的服务进行关闭。 创建一个无用户组的Administrator 账户， 并设置安全系数高的密码。 （2）对于 Web 组件的安全设置而言，主要包括以下几个方面： 将默认创建的 Inetpub 目录进行删除。为Web 服务器 设置站点、目录以及文件的访问权限。 将不必要 IIS扩展名映射删除。 将 IIS日志的路径更改。 将未使用的账户删除，并设置安全系数高的密码。 使用应用程序池， 将应用程序隔离， 提升 Web 股武器的安全性与可靠性。2.4 关于应用程序的安全防护 措施对于应用程序安全而言，包括web 服务软件安全以及业务系统代码安全。相对于操作系统的安全防护工作而言，应用程序安全有着更高的技术要求。对于应用程序等安全防护措施而言，主要包括以下几个方面的内容：（1）部署安全系数较高的Web 应用程序。程序安全设计的目的是将漏洞消除，因此对于设计人员而言，应对Web 应用开发出一套周密、详细的思路，对Web 页面进行加密与验证处理，而不是仅仅为实现单向功能。同时，部署安全系数较高的Web 应用才能从根本上解决Web 应用层面的安全问题。 （2）根据业务系统需求，配置安全系数相对较高的Web 服务。 （3）创建Web 防御检测系统。 使用该系统对Web应用的运行情况进行实时监控，快速掌握Web 应用安装运行状况，以及时采取有针对性的应对措施， 将安全风险降到最低。 （4）安装 杀毒软件 。安装杀毒软件既能防止不法分子通过漏洞将带有病毒的文件上传至服务器 ，同时也能对病毒的操作进行监控，确保上传至服务器文件的安全性。 （5）建立用户分级与审核制度，对普通用户与系统管理员区分管理，并设置高安全系数的密码。3 结语随着 Web 应用需求的不断增加，随之出现的问题也会逐渐增加并越来越复杂。为此，应遵循相应的方法与原则，对Web 应用进行深入分析，对其存在的安全问题进行认真考虑分析， 并提出有针对性的应对措施，以提供必要的安全保障。在此过程中， 还应建立起应急事件响应制度与体系，并对Web 应用安全防护措施进行不断完善与创新，以提升Web 应用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 的安全可靠性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -