91网首页-91网页版-91网在线观看-91网站免费观看-91网站永久视频-91网站在线播放

[導(dǎo)讀]Web服務(wù)是指采用B/S架構(gòu)、通過Http協(xié)議提供服務(wù)的統(tǒng)稱，這種結(jié)構(gòu)也稱為Web架構(gòu)，隨著Web2.0的發(fā)展，出現(xiàn)了數(shù)據(jù)與服務(wù)處理分離、服務(wù)與數(shù)據(jù)分布式等變化，其交互性能也大大增強(qiáng)，也有人叫B/S/D三層結(jié)構(gòu)。
　　一、Web安全不僅僅是互聯(lián)網(wǎng)才需要

　　Web服務(wù)是指采用B/S架構(gòu)、通過Http協(xié)議提供服務(wù)的統(tǒng)稱，這種結(jié)構(gòu)也稱為Web架構(gòu)，隨著Web2.0的發(fā)展，出現(xiàn)了數(shù)據(jù)與服務(wù)處理分離、服務(wù)與數(shù)據(jù)分布式等變化，其交互性能也大大增強(qiáng)，也有人叫B/S/D三層結(jié)構(gòu)。互聯(lián)網(wǎng)能夠快速流行得益于Web部署上的簡(jiǎn)單，開發(fā)上簡(jiǎn)便，Web網(wǎng)頁的開發(fā)大軍迅速超過了以往任何計(jì)算機(jī)語言的愛好者，普及帶來了應(yīng)用上繁榮。J2EE與.NET的殊途同歸，為Web流行掃清了廠家與標(biāo)準(zhǔn)的差異;眾望所歸，SOA選中Web2.0作為其實(shí)現(xiàn)的基本工具之一(使用最廣的)，Web架構(gòu)從互聯(lián)網(wǎng)走進(jìn)了企業(yè)內(nèi)部網(wǎng)絡(luò)，新業(yè)務(wù)系統(tǒng)的開發(fā)，越來越多的系統(tǒng)架構(gòu)師選擇了Web架構(gòu)，與熟悉它的人如此廣泛是分不開的。事實(shí)再一次證明了那個(gè)經(jīng)典的理論：簡(jiǎn)潔的最容易流行。

　　簡(jiǎn)單與安全好象總有些“矛盾”，瀏覽器可以直接看到頁面的Html代碼，早期的Web服務(wù)設(shè)計(jì)沒有過多的安全考慮，人性本善，技術(shù)人員總是相信人都是善良的!但隨著Web2.0的廣泛使用，Web服務(wù)不再只是信息發(fā)布，游戲中的裝備交易、日常生活中網(wǎng)上購物、政府行政審批、企業(yè)資源管理…信息價(jià)值的誘惑，人的貪婪開始顯現(xiàn)，不是所有的人都有Web設(shè)計(jì)者的“大同”思想，安全問題日顯突出了。

　　2008年網(wǎng)絡(luò)安全事件統(tǒng)計(jì)最多是：SQL注入與“網(wǎng)頁掛馬(木馬)”。因?yàn)檫@是“僵尸”網(wǎng)絡(luò)發(fā)展新“會(huì)員”的基本工具，而僵尸網(wǎng)絡(luò)的經(jīng)濟(jì)與政治“價(jià)值”，這里就不用說了。SQL注入與“網(wǎng)頁掛馬”主要就是針對(duì)Web服務(wù)的，傳統(tǒng)的安全產(chǎn)品(UTM/IPS)都有些力不從心。

　　互聯(lián)網(wǎng)是個(gè)人思想展現(xiàn)的樂園，也是世界級(jí)的、虛擬的“另一個(gè)”社會(huì)，既然大家都是虛擬的、帶著面具的，要變成現(xiàn)實(shí)社會(huì)中的真實(shí)利益，還需要一些轉(zhuǎn)換才可以兌現(xiàn)，但SOA把Web架構(gòu)帶入企業(yè)內(nèi)部網(wǎng)絡(luò)，這里的網(wǎng)絡(luò)世界是“真實(shí)的”，利益是可以直接兌現(xiàn)的，Web安全問題變得刻不容緩。

　　二、Web架構(gòu)原理

　　要保護(hù)Web服務(wù)，先要了解Web系統(tǒng)架構(gòu)，下圖是Web服務(wù)的一般性結(jié)構(gòu)圖，適用于互聯(lián)網(wǎng)上的網(wǎng)站，也適用于企業(yè)內(nèi)網(wǎng)上的Web應(yīng)用架構(gòu)：

　　用戶使用通用的Web瀏覽器，通過接入網(wǎng)絡(luò)(網(wǎng)站的接入則是互聯(lián)網(wǎng))連接到Web服務(wù)器上。用戶發(fā)出請(qǐng)求，服務(wù)器根據(jù)請(qǐng)求的URL的地址連接，找到對(duì)應(yīng)的網(wǎng)頁文件，發(fā)送給用戶，兩者對(duì)話的“官方語言”是Http。網(wǎng)頁文件是用文本描述的，HTML/Xml格式，在用戶瀏覽器中有個(gè)解釋器，把這些文本描述的頁面恢復(fù)成圖文并茂、有聲有影的可視頁面。

　　通常情況下，用戶要訪問的頁面都存在Web服務(wù)器的某個(gè)固定目錄下，是一些.html或.xml文件，用戶通過頁面上的“超連接”(其實(shí)就是URL地址)可以在網(wǎng)站頁面之間“跳躍”，這就是靜態(tài)的網(wǎng)頁。后來人們覺得這種方式只能單向地給用戶展示信息，信息發(fā)布還可以，但讓用戶做一些比如身份認(rèn)證、投票選舉之類的事情就比較麻煩，由此產(chǎn)生了動(dòng)態(tài)網(wǎng)頁的概念;所謂動(dòng)態(tài)就是利用flash、Php、asp、Java等技術(shù)在網(wǎng)頁中嵌入一些可運(yùn)行的“小程序”，用戶瀏覽器在解釋頁面時(shí)，看到這些小程序就啟動(dòng)運(yùn)行它。小程序的用法很靈活，可以展示一段動(dòng)畫(如Flash)，也可以在你的PC上生成一個(gè)文件，或者接收你輸入的一段信息，這樣就可以根據(jù)你的“想法”，對(duì)頁面進(jìn)行定制處理，讓你每次來到時(shí)，看到的是你上次設(shè)計(jì)好的特有風(fēng)格，“貴賓的感覺”是每個(gè)人都喜歡的，更何況虛擬的網(wǎng)絡(luò)世界中，你不認(rèn)識(shí)的人還對(duì)你如此“敬仰”，服務(wù)得如此體貼……

　　“小程序”的使用讓W(xué)eb服務(wù)模式有了“雙向交流”的能力，Web服務(wù)模式也可以象傳統(tǒng)軟件一樣進(jìn)行各種事務(wù)處理，如編輯文件、利息計(jì)算、提交表格等，Web架構(gòu)的適用面大大擴(kuò)展，Web2.0可以成為SOA架構(gòu)的實(shí)現(xiàn)技術(shù)之一，這個(gè)“小程序”是功不可沒的。

　　這些“小程序”可以嵌入在頁面中，也可以以文件的形式單獨(dú)存放在Web服務(wù)器的目錄里，如.asp、.php、jsp文件等，并且可以在開發(fā)時(shí)指定是在用戶端運(yùn)行，還是在服務(wù)器端運(yùn)行;用戶不再能看到這些小程序的源代碼，服務(wù)的安全性也大大提高。這樣功能性的小程序越來越多，形成常用的工具包，單獨(dú)管理，Web業(yè)務(wù)開發(fā)時(shí)，直接使用就可以了，這就是中間件服務(wù)器，它實(shí)際上是Web服務(wù)器處理能力的擴(kuò)展。

　　靜態(tài)網(wǎng)頁與“小程序”都是事前設(shè)計(jì)好的，一般不經(jīng)常改動(dòng)，但網(wǎng)站上很多內(nèi)容需要經(jīng)常的更新，如新聞、博客文章、互動(dòng)游戲等，這些變動(dòng)的數(shù)據(jù)放在靜態(tài)的程序中顯然不適合，傳統(tǒng)的辦法是數(shù)據(jù)與程序分離，采用專業(yè)的數(shù)據(jù)庫。Web開發(fā)者在Web服務(wù)器后邊增加了一個(gè)數(shù)據(jù)庫服務(wù)器，這些經(jīng)常變化的數(shù)據(jù)存進(jìn)數(shù)據(jù)庫，可以隨時(shí)更新。當(dāng)用戶請(qǐng)求頁面時(shí)，“小程序”根據(jù)用戶要求的頁面，涉及到動(dòng)態(tài)數(shù)據(jù)的地方，利用SQL數(shù)據(jù)庫語言，從數(shù)據(jù)中讀取最新的數(shù)據(jù)，生成“完整”頁面，最后送給用戶，如股市行情曲線，就是由一個(gè)不斷刷新的小程序控制。

　　除了應(yīng)用數(shù)據(jù)需要變化，用戶的一些狀態(tài)信息、屬性信息也需要臨時(shí)記錄(因?yàn)槊總€(gè)用戶都是不同的)，而Web服務(wù)器本來是不記錄這些信息的，只管答復(fù)你的要求，“人一走茶就涼了”。后來Web技術(shù)為了“友好”互動(dòng)，需要“記住”用戶的訪問信息，建立了一些“新”的通訊機(jī)制：

　　Cookie：把一些用戶的參數(shù)，如帳戶名、口令等信息存放在客戶端的硬盤臨時(shí)文件中，用戶再次訪問這個(gè)網(wǎng)站時(shí)，參數(shù)也一同送給服務(wù)器，服務(wù)器就知道你就是上次來的那個(gè)“家伙”了。 Session：把用戶的一些參數(shù)信息存在服務(wù)器的內(nèi)存中，或?qū)懺诜?wù)器的硬盤文件中，用戶是不可見的，這樣用戶用不同電腦訪問時(shí)的貴賓待遇就同樣了，Web服務(wù)器總能記住你的“樣子”，一般情況下，Cookie與Session可以結(jié)合使用。　　Cookie在用戶端，一般采用加密方式存放就可以了;Session在服務(wù)器端，信息集中，被篡改問題將很嚴(yán)重，所以一般放在內(nèi)存里管理，盡量不存放在硬盤上。

　　到此，我們清楚了，Web服務(wù)器上有兩種服務(wù)用數(shù)據(jù)要保證“清白”，一是頁面文件(.html、.xml等)，這里包括動(dòng)態(tài)程序文件(.php、.asp、.jsp等)，一般存在Web服務(wù)器的特定目錄中，或是中間間服務(wù)器上;二是后臺(tái)的數(shù)據(jù)庫，如Oracle、SQL Server等，其中存放的數(shù)據(jù)的動(dòng)態(tài)網(wǎng)頁生成時(shí)需要的，也有業(yè)務(wù)管理數(shù)據(jù)、經(jīng)營數(shù)據(jù)。

　　還有一個(gè)問題應(yīng)該提一下，就是瀏覽器給用戶電腦帶來的安全問題，因?yàn)閃eb可以對(duì)本地的進(jìn)程、硬盤操作，可以把木馬、病毒放到你的電腦上來，Web架構(gòu)中使用“沙漏”技術(shù)提供安全保護(hù)，就是限制頁面中“小程序”的本地讀寫權(quán)限，但限制畢竟不能不讓其“工作”，所以多數(shù)情況下在寫入時(shí)給出提示，讓你自己選擇，大家經(jīng)常看見有進(jìn)程在安裝程序進(jìn)入你的電腦，但絕大多數(shù)人分不清是否應(yīng)該，要么一概不許，造成很多事情做不了(很多下載與游戲就只能看著)，要么“大膽”接受，大門敞開，聽天由命。這里主要分析服務(wù)器端的安全，客戶端的安全再行考慮。

　　三、Web架構(gòu)中的安全點(diǎn)分析

　　從Web架構(gòu)上可以看出，Web服務(wù)器是必經(jīng)的大門，進(jìn)了大門，還有很多服務(wù)器需要保護(hù)，如中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器等。我們這里不考慮網(wǎng)絡(luò)內(nèi)部人員的攻擊，只考慮從接入網(wǎng)(或互聯(lián)網(wǎng))來的攻擊，入侵者入侵的通道有下面幾個(gè)：

　　1、服務(wù)器系統(tǒng)漏洞：Web服務(wù)器畢竟的一個(gè)通用的服務(wù)器，無論是Windows，還是Linux/Unix，都不可少的帶有系統(tǒng)自身的漏洞，通過這些漏洞入侵，可以獲得服務(wù)器的高級(jí)權(quán)限，當(dāng)然對(duì)服務(wù)器上運(yùn)行的Web服務(wù)就可以隨意控制了。除了OS的漏洞，還有Web服務(wù)軟件的漏洞，IIS也好，Tomcat也好，同樣需要不斷地打補(bǔ)丁。

　　2、Web服務(wù)應(yīng)用漏洞：如果說系統(tǒng)級(jí)的軟件漏洞被關(guān)注的人太多了，那么Web應(yīng)用軟件的漏洞數(shù)量上就更多了，因?yàn)閃eb服務(wù)開發(fā)簡(jiǎn)單，開發(fā)的團(tuán)隊(duì)參差不齊，并非都是“專業(yè)”的高手，編程不規(guī)范、安全意識(shí)不強(qiáng)、因?yàn)殚_發(fā)時(shí)間緊張而簡(jiǎn)化測(cè)試等，應(yīng)用程序的漏洞也同樣可以讓入侵者來去自如。最為常見的SQL注入，就是因?yàn)榇蠖鄳?yīng)用編程過程中產(chǎn)生的漏洞。

　　3、密碼暴力破解：漏洞會(huì)招來攻擊容易理解，但畢竟需要高超的技術(shù)水平，破解密碼卻十分有效，而且簡(jiǎn)單易行。一般來說帳號(hào)信息容易獲得，剩下的就是猜測(cè)密碼了，由于使用復(fù)雜密碼是件麻煩而又“討厭”的事，設(shè)置容易記憶的密碼，是絕大多數(shù)用戶的選擇。大多Web服務(wù)是靠“帳號(hào)+密碼”的方式管理用戶帳戶，一旦破解密碼，尤其是遠(yuǎn)程管理者的密碼，破壞程度難以想象，并且其攻擊難度比通過漏洞方式要簡(jiǎn)單的多，而且不容易被發(fā)覺。在知名的網(wǎng)絡(luò)經(jīng)濟(jì)案例中，通過密碼入侵的占了接近一半的比例。

　　入侵者進(jìn)入Web系統(tǒng)，其動(dòng)作行為目的性是十分明確的：

　　讓網(wǎng)站癱瘓：網(wǎng)站癱瘓是讓服務(wù)中斷。使用DDOS攻擊都可以讓網(wǎng)站癱瘓，但對(duì)Web服務(wù)內(nèi)部沒有損害，而網(wǎng)絡(luò)入侵，可以刪除文件、停止進(jìn)程，讓W(xué)eb服務(wù)器徹底無法恢復(fù)。一般來說，這種做法是索要金錢或惡意競(jìng)爭(zhēng)的要挾，也可能是顯示他的技術(shù)高超，拿你的網(wǎng)站被攻擊作為宣傳他的工具。 篡改網(wǎng)頁：修改網(wǎng)站的頁面顯示，是相對(duì)比較容易的，也是公眾容易知道的攻擊效果，對(duì)于攻擊者來說，沒有什么“實(shí)惠”好處，主要是炫耀自己，當(dāng)然對(duì)于政府等網(wǎng)站，形象問題是很嚴(yán)重的。 掛木馬：這種入侵對(duì)網(wǎng)站不產(chǎn)生產(chǎn)生直接破壞，而是對(duì)訪問網(wǎng)站的用戶進(jìn)行攻擊，掛木馬的最大“實(shí)惠”是收集僵尸網(wǎng)絡(luò)的“肉雞”，一個(gè)知名網(wǎng)站的首頁傳播木馬的速度是爆炸式的。掛木馬容易被網(wǎng)站管理者發(fā)覺，XSS(跨站攻擊)是新的傾向。 篡改數(shù)據(jù)：這是最危險(xiǎn)的攻擊者，篡改網(wǎng)站數(shù)據(jù)庫，或者是動(dòng)態(tài)頁面的控制程序，表面上沒有什么變化，很不容易發(fā)覺，是最常見的經(jīng)濟(jì)利益入侵。數(shù)據(jù)篡改的危害是難以估量的，比如：購物網(wǎng)站可以修改你帳號(hào)金額或交易記錄，政府審批網(wǎng)站可以修改行政審批結(jié)果，企業(yè)ERP可以修改銷售定單或成交價(jià)格… 有人說采用加密協(xié)議可以防止入侵，如https協(xié)議，這種說法是不準(zhǔn)確的。首先Web服務(wù)是面向大眾的，不可以完全使用加密方式，在企業(yè)內(nèi)部的Web服務(wù)上可以采用，但大家都是“內(nèi)部人員”，加密方式是共知的;其次，加密可以防止別人“竊聽”，但入侵者可以冒充正規(guī)用戶，一樣可以入侵;再者，“中間人劫持”同樣可以竊聽加密的通訊。