Smartbi：常見Web應用安全漏洞原理與防護介紹

Web應用是指採用B/S架構、經過HTTP/HTTPS協議提供服務的統稱。隨着互聯網的普及，Web應用已經融入到咱們生活中的方方面面。在企業信息化的過程當中，愈來愈多的應用也都架設在Web平臺上。在這些Web訪問中，大多數應用不是靜態的網頁瀏覽，而是涉及到服務器側的動態處理。此時，若是技術人員的安全意識不足，例如對程序參數輸入等檢查不嚴格，就會致使Web應用安全問題層出不窮。輕則篡改網頁內容，重則竊取重要內部數據，更爲嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。這使得愈來愈多的用戶關注應用層的安全問題，Web應用安全的關注度也逐漸升溫。

本文根據當前Web應用的安全狀況，列舉了Web應用程序常見的攻擊原理及危害，並給出如何避免遭受Web攻擊的建議。

SQL注入

當應用程序將用戶輸入的內容，拼接到SQL語句中，一塊兒提交給數據庫執行時，就會產生SQL注入威脅。因爲用戶的輸入，也是SQL語句的一部分，因此攻擊者能夠利用這部分能夠控制的內容，注入本身定義的語句，改變SQL語句執行邏輯，讓數據庫執行任意本身須要的指令。經過控制部分SQL語句，攻擊者能夠查洵數據庫中任何本身須要的數據，利用數據庫的一些特性，能夠直接獲取數據庫服務器的系統權限。

原本SQL注入攻擊須要攻擊者對SQL語句很是瞭解，因此對攻擊者的技術有必定要求。可是如今已經出現了大量SQL注入利用工具，可讓任何攻擊者，只要點幾下鼠標，就能達到攻擊效果，這使得SQL注入的威脅極大增長。

XSS

跨站腳本攻擊（Cross Site Scripting)，爲不和層疊樣式表(Cascading Style Sheets,

CSS）的縮寫混淆，故將跨站腳本攻擊縮寫爲XSS。惡意攻擊者往Web頁面裏插入惡意html 代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。

反射型跨站腳本攻擊

攻擊者會經過社會工程學手段，發送一個URL鏈接給用戶打開，在用戶打開頁面的同時，瀏覽器會執行頁面中嵌入的惡意腳本。

存儲型跨站腳本攻擊

攻擊者利用web應用程序提供的錄入或修改數據功能，將數據存儲到服務器或用戶 cookie中，當其餘用戶瀏覽展現該數據的頁面時，瀏覽器會執行頁面中嵌入的惡意腳本。全部瀏覽者都會受到攻擊。

命令注入

命令注入和SQL注入差很少，只不過SQL注入是針對數據庫的，而OS命令注入是針對操做系統的。OS命令注入攻擊指經過Web應用，執行非法的操做系統命令達到攻擊的目的。只要在能調用Shell函數的地方就有存在被攻擊的風險。假若調用Shell時存在疏漏，就能夠執行插入的非法命令。

命令注入攻擊能夠向Shell發送命令，讓Windows或Linux操做系統的命令行啓動程序。也就是說，經過命令注入攻擊可執行操做系統上安裝着的各類程序。

跨站請求僞造

CSRF(Cross Site Request Forgery)，利用已登陸的用戶身份，以用戶的名義發送惡意請求，完成非法操做。

例如，若是用戶瀏覽並信任具備CSRF漏洞的網站A，則瀏覽器會生成相應的cookie，而且用戶訪問危險的網站B而不退出網站。危險網站B要求訪問網站A並提出要求。 瀏覽器使用用戶的cookie信息訪問網站A。 因爲網站A不知道是用戶自身發出的請求仍是危險網站B發出的請求，所以將處理危險網站B的請求，從而完成了用戶操做目的的模擬。 這是CSRF攻擊的基本思路。

越權訪問

越權漏洞是指應用在檢查受權（Authorization）時存在紕漏，使得攻擊者在得到低權限用戶賬後後，能夠利用一些方式繞過權限檢查，訪問或者操做到本來無權訪問的高權限功能。在實際的代碼安全審查中，這類漏洞每每很難經過工具進行自動化檢測，所以在實際應用中危害很大。其與未受權訪問有必定差異。目前存在着兩種越權操做類型：垂直越權操做和水平越權操做。

垂直越權漏洞，也稱爲權限提高，是一種「基於URL的訪問控制」設計缺陷引發的漏洞。因爲Web應用程序沒有作權限控制或者僅在菜單上作了權限控制，致使惡意用戶只要猜想其餘管理頁面的URL，就能夠訪問或控制其餘角色擁有的數據或頁面，達到權限提高的目的。

水平越權漏洞，是一種「基於數據的訪問控制」設計缺陷引發的漏洞。因爲服務器端在接收到請求數據進行操做時沒有判斷數據的所屬人而致使的越權數據訪問漏洞。如服務器端從客戶端提交的request參數(用戶可以控制的數據)中獲取用戶id，惡意攻擊者經過變換請求ID的值，查看或修改不屬於本人的數據。

隨着互聯網和Web技術的普遍使用，Web應用安全所面臨的挑戰日益嚴峻，Web系統時時刻刻都在遭受各類攻擊的威脅。所以，像BI這種典型的Web應用，須要制定一個完整的Web攻擊防護解決方案。在這裏以Smartbi安全性爲例，向你們介紹怎麼作到防患於未然。

首先，Smartbi經過軟件自帶的安全補丁工具包按期進行補丁文件的更新，而且支持熱修復；其次，Smartbi從Web端、源碼、組件等方面對產品進行安全問題自查，同時也經過與「補天衆測平臺」和「廣東賽評檢測中心」等第三方機構進行合做，按期對產品進行安全掃描，並積極配合解決發現的漏洞。最後，經過官方的技術支持渠道，及時響應用戶對安全問題的諮詢和求助。

因而可知，Smartbi正是經過創建全方位的安全漏洞防護機制來確保用戶信息的安全。可是，Web攻擊防護是一個長期持續的工做，隨着Web技術的發展和更新，Web攻擊手段也不斷髮展，針對這些最新的安全威脅，須要及時調整Web安全防護策略，使Web應用在一個安全的環境中爲企業服務。