摘 要 Web应用的安全涉及到公司和用户的信息安全和利益。近年来随着Web应用的不断发展和网络犯罪的不断增加,社会对Web应用系统的安全性越来越关注。本文对Web应用中容易出现的三个主要的安全隐患,数据安全隐患、认证和授权管理安全隐患以及会话管理安全隐患进行了研究,并给出了相应的应对方法。
关键词 Web应用;数据安全;认证和授权管理安全;会话管理安全
0 引言
随着互联网技术的发展和上网成本的不断降低,各种Web应用层出不穷,已日益渗透到现代人的工作和生活中。在公司里使用办公自动化Web应用进行工作,下班后通过团购网站的Web应用进行订餐,晚饭后使用影院的Web应用订电影票,回家后通过购物网站的Web应用进行购物等。
在Web应用给人们带来方便的同时,其安全性也越来越受到人们的关注。近年来,一些知名公司网站的Web应用被黑客攻击的新闻屡见报端。Web应用被频繁攻击的原因在于进行简单Web应用攻击的技术要求不高,网络中Web应用攻击工具比比皆是,很容易获取而且使用简单,只要具有一定计算机操作能力的人都可以通过这些工具发起攻击。另外网络的匿名性也给那些攻击者提供了天然的保护屏障,使他们可以肆无忌惮的对Web应用进行攻击。利益的驱使也是Web应用受到攻击的重要原因,银行账户、游戏账号和虚拟货币等这些可以获取经济利益的网络资源成为了攻击者们的首选目标。有些公司为了商业目的,也会聘请黑客高手攻击竞争对手的网站上的Web应用,破坏数据获取商业机密。这些攻击都是利用Web应用本身存在的一些安全隐患进行的,因此对Web应用中的安全隐患进行研究是非常有必要的。常见的Web应用安全隐患有数据安全隐患、认证和授权管理安全隐患以及会话管理安全隐患等。
1 数据安全隐患与应对
数据安全隐患包括数据传输安全隐患、数据存储安全隐患和数据验证安全隐患。
数据传输安全隐患通常是由于Web应用在处理用户和服务器进行交互数据时,通过明文方式传输而造成的。因为在网络上传输的数据通过一些常用的网络软硬件工具可以轻松获取到,如果一些包含用户隐私信息的数据在没有加密的情况下被黑客获取到,那后果将不堪设想。因此在Web应用设计的时候应考虑到将一些涉及用户个人隐私的信息进行加密处理后再进行网络数据传输,这样就大大的降低了用户个人信息被泄露的风险。例如在处理HTML页面表单的数据提交时,通常采用的是GET方式,这种方式直接将用户的请求数据以明文的方式添加到请求访问网络资源路径URL的后面,在浏览器的地址栏中就可以很清楚的看到这些信息,如果以这种方式向服务器提交用户的用户名和密码进行验证,那这些信息将会很轻松的被黑客获取。因此对这些涉及到用户个人信息安全的数据时,应采用POST方法和建立加密协议的方式进行网络传输。
数据存储安全隐患是由于关于用户的重要敏感信息如用户名,密码和聊天记录等在数据库或文件系统中是以明文方式存储造成的。当黑客获得了数据库管理系统访问权限或服务器文件系统访问权限时,就能很容易获取到用户的这些重要敏感信息。例如在2011年时,知名网站中国开发者技术在线社区CSDN的600万用户信息被泄露,原因就在于CSDN在设计之初对于用户名和密码的存储就采取的是明文存储方式。而这次密码的泄露对其它网站也产生的影响,这是因为许多网络用户在各大网站注册时为了方便都习惯采取相同的用户名和密码,这就使得当黑客获取了用户某个网站的用户名和密码后,会将此用户名和密码应用到其它网站的非法登陆,这种攻击方式通常也被称为撞库攻击。因此为避免数据存储安全隐患给公司和用户造成巨大的损失,对重要敏感信息应采用加密的方式进行存储。
另外一部分Web应用的数据安全隐患在于无法有效的对用户输入的信息进行验证,从而使黑客可以采取多种方式对Web应用进行攻击,例如跨站点脚本攻击、SQL注入式攻击、和缓冲区溢出攻击等。在Web应用进行设计实现时,设计开发人员应采用合理的技术手段对用户输入的信息进行有效验证,如正则表达式字符串过滤技术。测试人员要尽可能的了解黑客利用Web应用数据验证漏洞进行攻击的手段,在Web应用正式启用前模拟这些攻击进行测试。
2 认证和授权管理安全隐患与应对
Web应用中的认证机制通过用户名和密码或相关信息来确定用户的合法性。认证管理功能是绝大部分Web应用中都必不可缺和及其重要的安全保障,可以说是Web应用的咽喉要塞,认证管理功能的安全性涉及到了整个系统的安全性,因此需要进行精心的设计和测试。
对系统的认证管理功能进行测试需要分析系统的认证机制,并通过获取的信息来确认是否能绕过Web应用的合法用户认证。认证测试需要测试用户输入的登录信息包括用户名和密码等是否通过安全的协议传输,以免被黑客采用监听的手段轻易获取;测试通过与Web应用的认证机制进行交互是否能够获取到有效的用户列表;测试Web应用中是否缺省存在常见的账户以及容易被破解的账户,通常这些账户会以用户名和密码组合的方式存放到字典文件中,因此这种测试也被称为字典测试;测试所有的Web应用资源是否在认证机制的保护下,是否存在无需用户身份认证就能够获取的资源;测试密码遗忘处理机制是否设计合理,是否存在安全隐患;测试用户注销后再次登录是否不需要进行认证,测试Web应用是否允许客户浏览器保存登录成功的用户名和密码;测试认证系统是否能判断登录请求是正常用户发出的,还是黑客使用程序工具恶意进行的。
Web应用的授权机制用来控制相关资源和信息只有得到授权的用户才能访问。授权机制是在用户通过了认证机制后进行的,用来判断合法用户是否有权利访问特定数据。测试人员进行授权测试分析Web应用的授权机制的工作原理,以及检测是否能够通过一些手段获取非授权资源和信息。通过授权测试确定是否能够绕过系统授权机制、Web应用中是否存在路径游历漏洞以及是否能够非法提升用户权限等。
3 会话管理安全隐患与应对
在Web应用设计中,核心的一点就是如何在服务器端和客户端保持和管理会话状态,用来控制用户和Web应用系统的交互。会话的管理在Web应用中使用广泛,从用户登录,业务处理到用户注销都涉及到了会话管理。HTTP是一种无状态协议,Web服务器只能响应客户端当前的请求,而无法将同一客户端前面的请求进行关联。在Web应用设计中,通过会话技术将同一用户的多次请求关联起来,从而控制用户和Web应用系统的交互。
为了避免用户每访问一个Web应用页面就需要进行身份认证,Web应用设计人员通常采用会话管理机制在一定的时间段内保存和验证用户身份标识。这种机制增加了Web应用的用户友好性,但同时却给黑客带来了可乘之机。测试人员需要对Web应用的会话管理进行测试,检查会话是否按照安全的方式进行创建和管理,避免黑客使用会话管理漏洞危害Web应用安全。
4 结论
随着传统互联网和移动互联网的发展和融合,Web应用在人们的工作和生活中已起着越来越重要的作用。而与此同时,由于利益的驱使,基于Web应用的网络犯罪也越来越多。这就需要Web应用的开发厂商和相关从业人员对Web应用的安全性做更深入的研究,尽量在产品设计实现和发布之前就要考虑到系统的安全性,消除潜在的安全隐患。作为普通的Web应用用户,也应该了解相关的网络安全知识,从而保障自己的合法权益不受侵害。
参考文献
[1]Paco Hope,等.Web安全测试[M].傅鑫,等,译.清华大学出版社,2010,3.
[2]https://www.owasp.org/index.php/Top_10_2013-Top_10.2014,8.