Web应用系统信息安全漏洞利用技术研究

Web应用系统信息安全漏洞利用技术研究

王成飞

中电万维信息技术有限责任公司   甘肃省兰州市730010

摘要：传统网络面临着越来越多的伪失真和越来越严重的信息安全问题。应用程序安全问题变得更加尖锐：据估计，大约75%的攻击发生在公司的应用程序级别。目前国内已有一系列网络安全监控手段，主要是用于检测和分析网络层面的漏洞。因此，应用层安全问题日益受到重视。Web应用安全问题正成为网络安全技术领域的一个盲点。在世界范围内关于安全技术的研究越来越多，例如在欧安局框架内建立安全技术联盟。

关键词：Web应用系统；信息安全漏洞；利用技术；

前言：

近年来，通过互联网技术的开发和研究，Web服务作为一种新的服务分销模式，凭借其松散的连接、独立的平台等优势，在电子商务等领域呈现出广泛的应用脉络、兴趣，科技界和众多企业的支持和研究。随着Web服务的深入研究和应用，安全性成为Web服务领域的重要研究课题之一。Web应用程序的安全问题也已成为网络安全技术领域的一个重点领域。。

一、Web服务系统概述

    以服务为导向的架构是一个组件模型，它通过界面和合同定义的服务将应用程序的不同功能元素(称为服务)连接起来。接口是中立的，它必须独立于硬件平台、操作系统和实现服务的编程语言。这允许将在不同系统中创建的服务统一起来，作为一种统一而普遍的方法的一部分。特别是，如何防止非法用户获得信息资源，并确保对资源的保密和完整，已成为网络服务安全研究的优先领域之一。作为一个新的web应用程序模型，web服务是一个新的分布式计算机模型，是一个有效的机制来整合网站上的数据和信息。网络服务是SOA程序之一，它具有许多类似SOA的技术特性，例如基于符合SOAP、WSDL和UDDI标准的XML语言。尽管互联网继续增强其离散的计算机特性，但网络服务提供了一个结合旧技术和新技术的解决方案，这是非常有用的。由多个网络服务组成的应用程序可以有效地运行，不管它们可能被应用到哪里，也不管它们在互联网上的位置。目前有许多网络服务定义，分为三种基本类型:1)网络服务是独立的模块化应用程序，可以描述、出版、查找和调用，通常是网站。web服务是基于web页面的模块化模块，执行特定的任务，遵守允许web服务与其他兼容组件合作的具体技术规范。网络服务是企业发布的在线应用服务，以满足其他公司或应用程序可以获得的特殊商业需求。

二、Web应用系统信息安全漏洞利用技术

1.安全分析。网络服务系统的结构基于三个操作:供应商、角色和公共发行商、(检测)、(绑定)。Wreb服务的主要功能是提供一个全面的、全面的、互动的、容易整合的解决方案。在传输层之外，当数据被接收和转发时，数据的完整和其他安全信息可能丢失或丢失。这需要网络服务用户/供应商在接收和处理消息时信任这些中间节点(这些中间节点可能需要处理信息，生成新信息)。除了确保消息安全外，请求方根据消息内容作出适当反应和行为，即SOAP目前通常连接到传输中，在普通web服务器上使用的安全技术是阻止。实际上，这是一个识别IP地址的过程，服务器通常存储一个被禁止访问的IP地址列表。这些安全措施显然是粗糙的，因为它们不允许潜在客户访问网络服务描述(WDSL文件)，也不允许他们获得更全面的安全战略。特别是，许多公司目前提供与相关网站相关的网络服务，也阻止那些无法访问网络服务IP地址的人正确访问该网站。因此，一个传输或普通防火墙的解决方案不能保证网络安全。它们没有故障保护、不适、选举保护(部分消息保护)、灵活的认证机制和信息保护等特征。目前，web服务器和IDS合并以确保web服务的安全。

2.漏洞利用流程。网络服务这是嵌入到单独的结构中并在网络上发布的功能统一，我们说的是功能综合体调用后提供的服务。简单地说，网络服务是URL的资源，在通过中介查询服务之后，它可以访问服务提供商提供的服务，而不需要知道服务是如何提供的。除了执行代码外，完整的网络服务还定义了一个清晰的接口。通常接口描述web服务内容和访问格式，客户根据web服务描述知道服务是否包含所需的功能和调用方式。web服务可以创建新的、更实用的服务和其他服务。开发人员可以通过调用远程服务、本地服务或自己编写代码来创建新的网络服务。一种面向维护的结构，可以用来开发应用程序解决特定的通信和整合问题。在使用漏洞之前，必须建立测试环境，包括准备硬件平台、网络出口和相关工具以及为设备试验创造条件;第二，初步攻击阶段收集信息，包括域名、IP版本和软件。关于港口服务的信息，以及开发测试计划等等;最后，在袭击发生后，包括清除操作痕迹、实施木马程序、进一步扩大浸润和准备浸润报告。

3.检测漏洞的方法。缺口检测方法主要分为两大类:仪器扫描和手动识别。工具扫描是在符合目标参数集的模式下进行的，并存储网络应用程序的特性。网络漏洞扫描的主要工具包括AWVS、Burp suite、Nessus和Nikto以及Web Inspect。工具扫描的好处是，它允许快速有效地识别和识别大量的空白，但也有一定比例的错误和遗漏。人工识别包括识别已知的空白和提取未知的空白。识别已知的漏洞是通过比较漏洞数据库中发布的相关特征来解决工具错误问题。手动分析目标系统特征和测试确认目标系统中的漏洞。一旦错误的人使用了这个漏洞，造成的损害将得到评估。

4.漏洞操作方法。有各种各样的漏洞。本文分析了一些常见的网络漏洞类型，并概述了它们的原理和使用方法。自动利用漏洞的技术随着安全技术的迅速发展，越来越多的综合过滤平台出现在网络上。许多平台兼容自动化、半自动的漏洞工具、典型的用于自动化漏洞的平台，这些平台可以自动完成对空格的扫描，识别空格，并自动为网站安全系统提供特定的漏洞。目前，许多科学家正在研究自动过滤技术。自动化的使用使网络漏洞变得不容易获得，当攻击者利用网络漏洞时，很难评估其有害影响。web应用系统是防止文件中有漏洞的主要技术，用于多个开放web系统。它们是通用的，比如互联网功能论坛。由于用户输入的数据没有受到严格审查，因此可以解决下列问题:a)服务器路径参数必须是常数而不是变量，而文件路径必须是常数。它非但没有通过客户传递数据，反而有助于防止文件下载中的错误用户提供的数据。需要进行全面检查，例如检查文件后缀，而不仅仅是最后四个位置;或者禁止用户指定文件的名称。C)改进操作系统的安全配置，限制某些执行文件的权利。

5.注入防范。这意味着攻击者使用了一个命令，将数据库嵌入到通用用户输入中。实现入侵和破坏系统的目标。这是因为失败者测试了不严格和不正确的代码。那样的话攻击者可以请求、修改和删除数据库:在特定情况下，系统命令也可以执行。一般来说，网站通常会列出这些攻击目标的用户的名单。为了防止这样的攻击，需要制定精心设计的编程规则和软件开发代码控制机制，而仅仅设置补丁和安装防火墙是不够的。目前有一个新的网络应用程序保护类。分析所有网络连接可以防止对应用程序层的频繁攻击和敏感信息的泄露一样，它在服务器受到过滤后与防火墙连接。目前，75%的黑客攻击发生在应用程序中。

结束语：

最后漏洞的使用方式和相关危险。网络应用系统的信息安全保护是一个交互式过程。只有充分了解漏洞的基本原理和使用方法，才能有效地使网站在面对各种网络安全威胁和安全紧急情况时保持稳定。

参考文献：

1.王登国．基于异常控制流识别的漏洞利用攻击检测方法．通信学报，2019，35(9)：20—31．

2.吴志伟．基于Windows的结构化异常处理漏洞利用技术．计算机工程，2021，38(20)：5-8．