2022年Web应用开发时需要注意哪些方面的安全问题以及相应的对策 .pdf

《2022年Web应用开发时需要注意哪些方面的安全问题以及相应的对策 .pdf》由会员分享，可在线阅读，更多相关《2022年Web应用开发时需要注意哪些方面的安全问题以及相应的对策 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、摘要：Web页面是所有互联网应用的主要界面和入口，各行业信息化过程中的应用几乎都架设在 Web平台上，关键业务也通过Web 应用程序来实现， Web应用程序的安全性变得越来越重要。Web 应用本身具有一些的安全弱点，其安全漏洞常被利用来攻击。 Web应用程序的安全问题是一个复杂的综合问题，在Web应用程序开发阶段就应予以重视，分别从数据库设计、程序设计、Web 服 务器等三个层面去考虑如何加强Web应用程序的安全性。随着网络技术的快速发展，越来越多的web 应用件被用于Internet 中。对于Web 应用软件而言，是一种借助Internet 技术加以连接的客户/服务器软件，并且可以传输数据。

2、在市场需求的不断推动下，Web 应用软件的种类与数量也不断增加，软件的复杂程度也不断增加，软件的质量与安全问题已成为人们越来越关注的问题。对于该软件的服务而言，包括邮件服务、电子公告牌、网上商店以及数据库管理工具。对于这些服务的提供，使得系统在运行过程中暴露出越来越多的弱点，这也意味着web 应用软件将面临着较为严重的安全隐患。为此，在今后的工作过程中，应对Web 应用软件的安全现状进行分析，并提出有针对性的应对措施，以提升Web 应用软件的运作安全水平。1 Web 应用安全认识误区及安全现状1.1 安全认识误区为了确保Web 应用安全，人们多在各个工作层面部署属于自己的安全策略，如安装杀毒软

3、件 来确保计算机运行安全，采用 SSL技术对所传输的数据加密处理，并搭建防火墙来过滤一些不安全访问信息。对于这些防护措施而言，虽然可以将不必要暴露的端口进行关闭，对一些非法信息进行过滤处理，但仍然不能保障Web 应用安全。 对于 Web 服务所依赖的80和 443 端口而言，必须是开放的， 然而防火墙却不能正确辨认出端口所传输的信息是否安全，当访问通过防护措施时，Web 应用就会完全暴露在用户面前。而针对应用面层的攻击而言，可以很轻易地突破受防火墙保护的网站。如对较为常见的SQL 注入攻击表现层面而言，几乎是普通的数据交互查询。而对于防护系统而言，它也是较为正常的访问链接，并且判断不出其所存在

4、的恶意攻击。因此对于搭建防火墙、安装杀毒软件以及SSL加密等处理措施都不能完全保障Web 应用的安全。1.2 Web 应用安全现状最新的网络安全统计数据表明，累计每天都有超过12 亿人次的网民受到木马攻击，并且有大量的流行软件、大型网站被“ 挂马 ” ，并且每年都呈现出明显的大幅度增长趋势。由此可以看出， 现阶段的互联网仍然非常脆弱，90%左右的木马病毒都以“ 挂马 ” 的形式进行传播。而这些问题的额产生，在很大程度上源于web 安全领域的问题，如后台服务器的不安全设置、系统漏洞、Web 应用程序实现代码缺陷等，给不法分子以可乘之机。而对于这些隐患而言， 75%左右的攻击都出现在Web 应用程

5、序本身，这也是用入侵检测系统、防火墙 以 SSL所无法应对与解决的。2 确保 Web 应用安全的防护措施2.1 确保操作 系统安全 的效 安全防护 措施操作系统作为抵御非法攻击的第一道防线，对确保 Web 的安全发挥着非常重要的作用。对于操作系统的防护措施而言，主要包含以下几个方面： （1） 对系统补丁进行实时更新升级，防止不法分子依靠系统漏洞 进行攻击。（2）对不必要的通讯端口进行关闭处理，以有效降低恶意攻击的入侵通口。 （3）对密码管理制度进行规范处理。对服务器上的各个登录密码进行统一生成与集中处理。 （4）在进行软件与组件安装时，应认真谨慎，关闭不必要的服务器，名师资料总结 - - -精

6、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 以有效降低安全隐患。 （5）遵循最小权限原则设置文件系统，以有效避免跨站脚本攻击与提权操作。2.2 网络与通信信道防护网络作为系统防护的第一门户，直接面对着大量的外部访问请求。提升网络安全性，能有效防御基于TCP/IP的恶意攻击。对于本层的防护技术而言，主要立足于网络层的端口、协议等，在保障通信畅通的前提下，应尽可能对系统进行防护处理。边界路由器、网络 防火墙、核心交换机等都能实现对网络层端口、协议等层面的

7、安全保护。对于防火墙而言，可作为网络通信的Port 开关，只对必要的通信端口开放，能有效屏蔽大量病毒的端口，并可将较为重要的Web 纳进隔离区进行防护。对于边界路由器、核心交换机设备而言，都有基 ACL的访问控制单元。为此，建立起相对比较完善的访问控制表，并结合企业内部的IP 管理，能对大量非正常访问的数据包进行过滤处理。在此过程中，还可将安全网关、防病毒墙、IDS/IPS以及网站保护墙等部署在Web 服务器 前面，能屏蔽大量的入侵攻击。对于通信信道的防护措施而言，可在较为安全的环境中，以HTI/PS协议来代替HTFP协议。并利用SSL来保证安全传输文件，通过Web 服务器与客户端浏览器之间构

8、建起一条安全通信信道，能有效确保信息在Interact 中传送的完整性与保密性。2.3 Web 应用主机防护措施主机平台的安全性是确保应用程序安全的前提，因此必须采取相应的措施确保Web 应用主机的 安全 。同时，对于主机平台的安全而言，包括主机 系统安全 与 Web 组件系统安全。（1）对于Web 主机系统的安全设置而言，主要包括以下几个方面： 确立系统安全策略设置，设置目录及磁盘访问权限。 将默认共享的空链接关闭，将不必要的端口也进行关闭处理。 限制匿名用户对本机的访问，并设置相应的用户执行权限。 安装策略最小化处理， 将不必要的服务进行关闭。 创建一个无用户组的Administrator

9、 账户， 并设置安全系数高的密码。 （2）对于 Web 组件的安全设置而言，主要包括以下几个方面： 将默认创建的 Inetpub 目录进行删除。为Web 服务器 设置站点、目录以及文件的访问权限。 将不必要 IIS扩展名映射删除。 将 IIS日志的路径更改。 将未使用的账户删除，并设置安全系数高的密码。 使用应用程序池， 将应用程序隔离， 提升 Web 股武器的安全性与可靠性。2.4 关于应用程序的安全防护 措施对于应用程序安全而言，包括web 服务软件安全以及业务系统代码安全。相对于操作系统的安全防护工作而言，应用程序安全有着更高的技术要求。对于应用程序等安全防护措施而言，主要包括以下几个方

10、面的内容：（1）部署安全系数较高的Web 应用程序。程序安全设计的目的是将漏洞消除，因此对于设计人员而言，应对Web 应用开发出一套周密、详细的思路，对Web 页面进行加密与验证处理，而不是仅仅为实现单向功能。同时，部署安全系数较高的Web 应用才能从根本上解决Web 应用层面的安全问题。 （2）根据业务系统需求，配置安全系数相对较高的Web 服务。 （3）创建Web 防御检测系统。 使用该系统对Web应用的运行情况进行实时监控，快速掌握Web 应用安装运行状况，以及时采取有针对性的应对措施， 将安全风险降到最低。 （4）安装 杀毒软件 。安装杀毒软件既能防止不法分子通过漏洞将带有病毒的文件上

11、传至服务器 ，同时也能对病毒的操作进行监控，确保上传至服务器文件的安全性。 （5）建立用户分级与审核制度，对普通用户与系统管理员区分管理，并设置高安全系数的密码。3 结语随着 Web 应用需求的不断增加，随之出现的问题也会逐渐增加并越来越复杂。为此，应遵循相应的方法与原则，对Web 应用进行深入分析，对其存在的安全问题进行认真考虑分析， 并提出有针对性的应对措施，以提供必要的安全保障。在此过程中， 还应建立起应急事件响应制度与体系，并对Web 应用安全防护措施进行不断完善与创新，以提升Web 应用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 的安全可靠性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -