高校常见Web风险分析及防护实践

张光勇

摘要：随着学校信息化快速发展， Web应用在高校宣传及信息化建设中发挥着越来越重要的作用， Web应用的安全问题也日益突出。该文针对Web应用的安全问题，对危险漏洞风险进行分析，并提出了相应的防范措施及建议。

关键词： web应用； 漏洞； 预警； 处置； 运维

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）10-0053-02

Abstract：With the rapid development of school informatization， Web application plays an increasingly important role in the publicity and informatization construction of colleges and universities， and the security of Web application is becoming more and more prominent. This paper analyzes the risk of dangerous vulnerability and puts forward some preventive measures and Suggestions for the security of Web application.

Key words：web application； vulnerability； warning； disposal； operations

随着校园信息化的快速发展，信息系统已深入到校园工作和生活的各个层面，在高校师生员工的教学和生活中发挥着无可替代的作用。Web技术日臻成熟，Web应用得到了广泛的应用，在为师生带来方便服务的同时也带来了一些网络安全问题，被挂马、SQL注入、网页被篡改、信息泄露等现象屡见不鲜，对校园网的网络安全构成了严重的威胁。Web应用的网络安全问题已经成为校园网网络安全研究领域中的一个重要方向。

1 攻击渗透web应用

1.1 web应用被攻击原因分析

B/S模式因为具有部署和维护方便、易于扩展等特点，被开发者和使用者广泛接受并使用。高校环境中，绝大多数的应用系统都已经或准备迁移到B/S环境下，B/S系统的数量少则有十几套，多则可达上百套。各应用系统中保存有大量数据，包括教师和学生的个人隐私信息，存在很大的攻击价值，容易扩大政治影响、获取经济利益、个人隐私信息等。同时针对B/S系统攻击的门槛很低，因为互联网上大量的黑客培训、攻击工具泛滥，几分钟的时间就可以掌握进行攻击的相关知识。Web应用多采用80端口对外提供服务，易被检测和攻击，根据统计，超过75%的攻击事件都是针对B/S系统的。因为部署时间因素和环境的不同，B/S系统多数都分散于独立的物理机或虚拟机中，同时，由于人员的多样性和不可确定性，也给信息系统的安全带来更多的隐患和不确定因素。

1.2 web应用危险漏洞介绍

1.2.1 SQL注入漏洞

攻击者通过构建特殊的SQL语句，将其拼接到Web表单或请求域名URL中，用于欺骗web服务器去执行，进而执行攻击者所要的操作。该漏洞可导致数据库被拖库、撞库，敏感信息被泄露、篡改或删除，由此而引发的衍生威胁有账号信息盗取、上传webshell木马到服务器，达到远程控制整个web网站服务，以此为跳板进一步攻击内部网络其他主机。

1.2.2 XSS跨站脚本漏洞

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该网页或点击网页链接时时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。该漏洞可以盗取用户账号cookie信息，修改用户设置，重定向到黑客的钓鱼站点，可控制用户执行DDOS攻击，利用客户端浏览器的漏洞传播蠕虫等。

1.2.3 Struts2框架命令执行漏洞

Apache Struts2框架使用中的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的unicode字符串表示＼u0023，攻击者就可以绕过保护，修改保护Java方式执行的值，进一步可调用java语句来执行任意命令，甚至控制操作系统。执行漏洞可以利用此漏洞在系统上执行任意命令，达到远程控制服务器的目的。

1.2.4 命令注入漏洞

由于Web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，將数据提交至Web应用程序中，并利用该方式执行外部程序或系统命令实施攻击。可以利用此漏洞在系统上执行任意命令，达到远程控制服务器的目的。

1.2.5 文件上传漏洞

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令。直接或间接上传webshell木马文件，达到远程控制整个web网站服务，以此为跳板进一步攻击内部网络其他主机。

1.3 web危险漏洞的防范

1.3.1 SQL注入漏洞

可以通过使用以下方法到达防范SQL注入漏洞的目的：

查询语句使用数据库提供的参数化查询接口；检查变量数据类型和格式，并严格规定数据长度；转译或过滤特殊符号；使用普通用户权限连接数据库连接；指定返回的错误页面；设置web目录的许可权限。

1.3.2 XSS跨站脚本漏洞

验证输入数据的格式、长度、范围和内容，对script、iframe等字样进行严格检查，允许有限的html，避免插入用户可控的数据输出确认；对输入的经常造成安全问题的字符进行编码。

1.3.3 Struts2框架命令执行漏洞

通过升级struts2框架到最新版本可以解决该问题。

1.3.4 命令注入漏洞

在代码级调用shell时，对命令行中的特殊字符进行转义，可以有效解决该漏洞存在的问题。

1.3.5 文件上传漏洞

通过将文件上传的目录设置为不可执行、多种组合方式验证文件类型、使用随机数改写上传文件的文件名和访问路径的方式可以解决该漏洞问题。

2 安全防护web应用

2.1 事前安全预警发现

WPDRRC信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型，信息安全模型在信息系统安全建设中起着重要的指导作用。其中W就是预警的环节，以此安全模型作为参考，通过web应用安全防护的预警，在应用系统的正式上线后，第一时间发现安全问题，根据发现的安全问题危害严重程度，按步骤有效完成相应的防护工作，防止其被恶意攻击利用，造成严重的安全事故。通过使用专业的漏洞扫描工具进行应用系统的安全弱点检查，可以有效地发现问题。

2.2 事中安全加固实施

通过设置黑白名单、过滤特殊字符、验证数据输入输出等方式修复代码漏洞。安全加固web应用及其支撑组件（操作系统、数据库、脚本等），防止攻击者攻击web应用支撑组件的方式获取到网站乃至服务器的管理权限。通过采用专业的防护设备，如web应用防火墙、防篡改系统、入侵防御等产品，实现系统安全加固。

2.3 事后安全应急处置

当web站点被攻击成功后，大多数的黑客都会通过一些提权漏洞，创建具备管理员权限的系统账号，打开系统远程管理或者安装系统级别的后门木马，实现远程控制，进而控制整个服务器操作系统。因此，必须要对服务器操作系统进行安全检查，以确保服务器操作系统是安全可信的，从而避免网站漏洞修复、webshell木馬查杀后，服务器还是被恶意攻击者远程控制着。服务器操作系统的安全检查，涉及的内容比较广，主要检查的项目有：系统账号、启动服务、异常行为、关键日志等。

3 Web站点运维建议

在Web站点运维过程中，通过定期进行检查，有助于帮助用户及时发现新的风险，获取系统的信息安全状况，有助于帮助用户更好的分配有限的资源。建议从以下几个方面进行：

1）定期执行应用系统安全漏洞检查，先于恶意攻击者发现，及时调整防护策略。

2）定期执行应用系统木马后门检查，第一时间发现存在的威胁并清理，保证发生安全事故的影响损失最小化。

3）定期执行应用系统的数据备份工作，保证发生安全事故后能够最短时间内的业务恢复工作。

4）参照专业安全的web安全防护解决方案，构建高度安全的应用防护框架，确保web应用及其支撑平台运行在高度安全、可信的环境中。

5）将应用系统变更、维护、升级等基础工作流程规范化。

4 结语

本文分析了高校Web站点存在的安全风险，并针对主要的安全风险提出了具体的防范措施，就Web站点运维提出了建议。Web安全是一项动态的持续过程、不断改进的工作，没有一劳永逸的架构和解决方案，需要系统维护人员不断改进安全措施、提高技术手段，完善信息系统的安全体系，高校的 Web 应用系统才可以安全稳定地运行，为师生提供更好的服务。

参考文献：

[1] 卢冬海. 高校web安全解决方案[J] .网络安全技术与应用， 2016， 4：75-76.

[2] 杨龙.校园网Web网站网络安全问题分析与解决方法[J] .电脑知识与技术， 2016， 35（12）：57-58.

[3] 王雪.浅析高校信息系统安全隐患及防范措施[J] .吉林农业科技学院学报， 2017， 26 （1）：41-43.

[4] 廖宇，张彤.Web安全已成校园网最大痛点[J].中国教育网络， 2016，9：32-33.

[5] 姚传军. WPDRRC信息安全模型在安全等级保护中的应用[J]. 光通信研究， 2010，（5）：27-29.

[6] 孟治强.高校Web应用安全威胁及对策研究[J]. 电脑知识与技术， 2017，26（13）：28-29.

[7] 360.Struts2漏洞拉响网站安全红色警报[J]. 计算机与网络2011，14：42-42.