校园网Web网站网络安全问题探析及解决方法.doc

校园网Web网站网络安全问题探析及解决方法 　　摘要：随着校园网快速发展，校园Web网站也在高校宣传及信息化建设中发挥着越来越重要的作用，随之而来的Web网站安全问题也日益突出。本文针对Web网站安全问题，对常见的网站攻击进行分析，并提出了相应的防御措施及解决方法 关键词：校园网；Web网站安全；网页攻击；防御措施 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）35-0057-02 随着校园网的不断发展，Web网站逐渐成为在校师生的信息服务平台，同时也是宣传高校工作的一种重要方式。Web网站在为师生带来方便服务的同时也带来了一些网络安全问题，这些问题不仅仅影响了网站的使用效果也对校园网的网络安全构成了严重的威胁。Web网站的网络安全问题已经成为校园网网络安全研究领域中的一个重要方向 1 引言 现如今，大多数高校的Web网站均采用IIS服务与数据库相结合的架构模式。IIS全称为Internet Information Server（网络信息服务），它是Microsoft公司推出的Web服务器。相对于其他Web服务器，IIS具有更高的可靠性与可用性，IIS经过不断的设计与改进，新的容错进程架构和其他功能可以有效地帮助用户减少不必要的停机时间，从而提高了应用程序的可用性。但是基于IIS服务的Web网站也同样存在着一系列的安全问题，其中主要有：①服务器操作系统未进行合理的配置与科学的管理；②如网站挂马、SQL注入攻击和跨站脚本攻击等破坏性网站攻击；③IIS服务器端运行脚本环境本身存在的一些安全隐患。本文主要针对常见的Web网站攻击进行分析与研究，并结合实际提出了行之有效的解决方法 2 校园网Web网站存在的安全问题 2.1 网站挂马 挂马就是指攻击者通过各种非法手段获取到网站后台管理员账号和密码，并登陆网站后台，利用webshell直接修改网站页面内容或者将网页木马嵌入到被攻击的高校网站中，当用户访问时就会自动下载木马病毒。网站挂马直接影响到高校的网站的信誉度，使网站失去了有力宣传高校的作用，对高校的对外宣传工作造成了很大的影响；同时木马病毒通过用户不断地点击浏览网站在校园网中广泛传播，对全校师生的信息安全构成严重的威胁 2.2 SQL注入 SQL注入是一种针对数据库的恶意攻击，它将SQL命令直接插入到Web表单中并提交给后台服务器处理，最终达到欺骗服务器，执行恶意SQL语句的目的。SQL注入可以被分为平台层注入和代码层注入，平台层注入主要是由不安全的?稻菘馀渲靡?起的数据库漏洞所致；而代码层注入则是由网页开发人员对输入数据库的数据审核不严，从而导致了非法的数据查询所造成的。SQL注入对Web网站的危害是比较大的，它能够非法的读取、篡改、添加、删除数据库中的用户数据；盗取用户的各类数据信息，并非法获益；通过修改数据库中的数据来改变网页上的内容；私自添加或删除管理员账号 2.3 跨站脚本攻击 跨站脚本攻击也被称为XSS（Cross Site Scripting）是Web应用程序在将数据输出到网页上存在漏洞，导致攻击者将恶意数据或链接显示在页面上。相比于SQL注入攻击，跨脚本攻击是针对用户的攻击，换言之，它是一种存在于用户浏览器中的恶意代码。跨站脚本攻击可以分为持久性型XSS和和非持久性XSS，前者将恶意代码或数据提交至存储器，Web应用在输出数据时，都会将恶意数据读取出来并在页面上显示；而非持久性XSS则是浏览器在提交恶意数据时才会响应。由于跨站脚本攻击直接运行在用户的浏览器上，它可以很容易的获取到用户的数据信息，对于高校网站这种大用户量的网站来说，用户数据泄露的危害是巨大的 3 高校Web网站安全问题的分析及解决方法 3.1 形成原因 目前，各高校Web网站均存在着严峻的安全问题，其形成的主要原因主要有以下几点： 3.1.1满足于网站正常应用，忽略网站安全 许多高校的网站是由网站开发公司设计完成的，高校的网站管理员只是负责网站的正常使用。公司人员寻求的是在最短时间的利益最大化，如何在最短时间完成网站的设计与开发是他们关心的问题，从而忽略了网站的安全问题。然而，校方网站管理员由于能力和专业知识的欠缺，在正常使用网站时，遇到安全隐患并不能引起管理员的重视，这样就给了攻击者有机可乘 3.1.2 Web网站服务器管理用户较多 由于高校院系及行政管理部门较多，因此网站数量也相对较多，并且各个网站都有各部门管理员负责管理，这就给Web网站服务器带了许多安全隐患。不同的网站管理员会在网站服务器上进行上传、下载等操作，且各个网站管理员的专业技术水平存在着差异，这样就增加了Web服务器感染网络病毒、木马的概率。虽然服务器