安恒信息学校Web应用系统安全解决方案

核心提示： 目前，大多数WEB站点与学校内部数据管理应用结合在一起，安恒信息学校Web应用系统安全解决方案(4)，特别是大部分学校对外服务网站都与其内网系统相关联，通过入侵WEB应用系统，跨站点请求伪造攻击是一种强大的Web应用攻击方法6.信息泄漏和不适当的错误处理通过各种错误的应用操作，应用程序可能由于其

目前，大多数WEB站点与学校内部数据管理应用结合在一起，特别是大部分学校对外服务网站都与其内网系统相关联，通过入侵WEB应用系统，以应用服务器为跳板实现对银行内部系统进一步入侵，由此引发的信息泄露，信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线，基于WEB应用系统的防护方法研究迫在眉睫。

2.2 WEB应用威胁

2.1.1 WEB应用威胁简介

2008年，国际信息安全权威组织OWASP提出，目前最具危害性，利用率最高的十大安全漏洞如下：

1.跨站脚本漏洞

目标网站对用户提交的变量代码未进行有效的过滤或转换，允许攻击者插入恶意WEB代码，劫持用户会话、篡改网页信息甚至引入蠕虫病毒等

2.注入漏洞

注入漏洞，特别是SQL注入漏洞，主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验，可直接执行数据库语句，导致网站存在安全风险

3.恶意文件执行

目标网站代码存在远程文件包含漏洞，允许攻击者直接上传恶意代码，控制目标网站；受影响的应用包括PHP以及XML

4.直接对象引用隐患

直接对象引用是指开发商将内部执行对象，如文件、目录、数据库记录或关键字以URL链接地址或参数形式暴露给用户，导致敏感信息泄露

5.跨站点请求伪造漏洞

跨站点请求伪造攻击通过强制已登录受害者的浏览器向目标网站发送预认证请求，然后强制受害者浏览器执行有利于攻击者的行为，跨站点请求伪造攻击是一种强大的Web应用攻击方法

6.信息泄漏和不适当的错误处理

通过各种错误的应用操作，应用程序可能由于其不适当的错误处理在无意中泄露其配置信息、内部运作信息以及侵犯隐私的敏感信息。攻击者利用该漏洞可能盗取敏感的数据，甚至发动更为危险的攻击行为