【 摘 要 】 随着计算机技术和互联网技术的发展，各级政府机关、企业事业单位都在研发自己的网站，将各种业务都通过Web系统进行办理。事实上企事业单位往往注重Web系统的功能和性能，却很少注意到Web系统的安全问题，文章就基于Web系统安全问题进行了研究和探讨，并就系统中的安全漏洞提出了解决途径或方法。
　　【 关键词 】 Web系统；安全漏洞
　　【 Abstract 】 With the development of computer technology and Internet technology， all levels of government agencies， Enterprise Inc in the development of their own Website， a variety of business through the Web system management. But the enterprises usually pay more attention to the function and performance of the Web system， but pay little attention to the security problems of Web system， Web system is proposed in this paper based on the safety problems are studied， and the security loophole in the system is proposed to solve the way or method.
　　【 Keywords 】 web system；security vulnerabilities
　　1 引言
　　随着计算机技术和互联网的发展，电子商务、网络办公的兴起，越来越多的政府机关、企业事业单位都办起了自己的各种Web系统，例如OA办公系统、信息发布系统、工资查询系统、驾校预约系统、在线考试系统、干部测评系统、成果申报系统等，这些系统的使用极大地提高了工作效率、节约了人力、节约了资金给使用部门带来极大的便利，但同时也给这些部门带来极大地风险。目前各个单位在开发Web系统时将大量的资金和精力花费在设备和Web系统的功能和性能上，甚少考虑Web系统的安全问题，导致系统极易受到黑客的攻击或被黑客篡改了数据，导致系统崩溃或其他问题。
　　本文就基于Web系统安全机制方面的问题进行了分析，Web系统的安全性除了受Web应用程序设计的影响，还包括运行Web应用程序的操作系统及数据库等因素的影响。
　　2 Web应用程序设计问题
　　2.1 用户权限设计
　　每种Web应用程序在设计的时候都要进行仔细的需求分析，要考虑好各类用户权限的设定和划分，避免使得用户在使用时获取到身份不相符权限，或者页面缺少身份验证，用户不经身份验证就打开相应的页面等问题。例如在干部测评系统中，根据系统参与人员分析我们把测评系统用户分为系统管理员、纪委监察员、信息上传员、参与投票用户共四类人员，其各自权限有：（1）系统管理员权限：设定被测评的部门和被测评人员，负责导出投票结果，保存历史测评信息，具有对纪委监察员和信息上传员信息初始化的权限；不具有对参与投票用户信息管理的权限；（2）纪委监察员权限：设定参与测评的部门和人数，并利用系统随机生成用户名和密码，并将用户名和密码下发给相关人员；监控测评进度；具有对自身信息修改的权限；（3）信息上传员权限：具有对自身信息进行更改的权限；上传被测评部门和被测评人员的信息等；（4）参与投票用户权限：具有对自身信息进行更改的权限；可对被测评部门和被测评人员进行投票。
　　2.2 程序设计问题漏洞
　　不管Web程序设计基于某种语言或脚本，因使用语言或脚本本身就有部分缺陷导致产生安全漏洞，比如对特殊字符的判断或者会话管理漏洞等。例如在asp.net中的“cookie会话” 漏洞，入侵者自己在URL中创造一个假的会话标识（ID），并将其提交给服务器，服务器被欺骗以为会话是合法的，会创建一个会话。这个漏洞使得攻击者可以窃取会话并装扮成一个合法用户自由访问程序。
　　3 Web数据库安全问题
　　Web数据库中存储的数据都是系统的重要信息，例如在线考试系统中存储学生登录用户名、密码、答卷信息、各科考试成绩；阅卷教师账户、密码、试卷信息等。这些信息一旦丢失或被非法入侵者篡改了数据，将对学校教学工作带来混乱，使得学生对学校考试的公平性、公正性产生怀疑。根据数据库的自身特性对数据库安全方面要考虑几个问题：（1）对Web应用程序中进行必要的脚本审核，过滤一些类似“，； @ /<>%”等字符，防止SQL注入攻击；（2）对于SQL Server数据库，要利用其的安全配置给超级sa用户设定健壮的密码（密码长度超过9位）；（3）建议采用SSL来加密通信协议；（4）对数据库中的关键信息进行MD5加密，如试卷信息、教师账户、教师密码、学生账户等；（5）拒绝来自1434端口的探测，建议修改TCP/IP使用的端口；（6）删除一些不必要的服务，如管理扩展存储过程。对于中小型系统，根本用不到多少系统的扩展存储过程，为避免系统的存储过程被人利用起来提升权限或进行破坏，建议将扩展存储过程Xp_cmdshell去掉。

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。