欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

http www安全必備知識(shí)

 更新時(shí)間:2008年03月15日 18:45:11   作者:  
一、前言 還記得美國(guó)為首的北約轟炸我駐南聯(lián)盟使館,大家義憤填膺但又無(wú)可奈何,于是有黑客呼吁黑美國(guó)佬的網(wǎng)站,很快大家紛紛學(xué)習(xí)攻擊Web的方法和技巧,并且成功的黑了美國(guó)的幾個(gè)軍事主頁(yè),有的還掛上了五星紅旗。這令美國(guó)政府十分尷尬。
要投巨資維護(hù)Web站點(diǎn)的安全。另一個(gè)最近的例子是,國(guó)內(nèi)最大的綜合性網(wǎng)站新浪在某天上午被黑客成功攻擊,其門戶頁(yè)面被換成了黃色頁(yè)面。給新浪造成了不小的副作用。這兩個(gè)例子說(shuō)明了Web站點(diǎn)的安全是十分重要的,可以說(shuō),隨著Internet的飛速發(fā)展,Web的安全其重要性逐漸超過(guò)其他應(yīng)用安全。同時(shí),由于Web必須要有開放性,這就是說(shuō),必須讓任何人都能夠有訪問(wèn)的權(quán)利,因此,使得防范更加困難。 
    Web的安全分為服務(wù)器安全和客戶端安全(瀏覽器),前者主要針對(duì)Web的構(gòu)建者,后者針對(duì)普通的用戶。本章將就這兩方面展開討論。 

二、什么是HTTP 
    HTTP(Hypertext Transfer Protocol)超文本傳輸協(xié)議允許用戶從WWW(World Wide Web)以及其他分布式信息系統(tǒng)請(qǐng)求和接受超文本的內(nèi)容。它運(yùn)行在TCP之上并用綁定服務(wù)器端口80,然后它還可以使用其他端口和協(xié)議來(lái)提供一個(gè)可靠的數(shù)據(jù)流。它是一個(gè)請(qǐng)求/響應(yīng)協(xié)議。為了獲得信息,一個(gè)瀏覽器客戶程序(如netscape)向一個(gè)Apache服務(wù)器建立一個(gè)TCP連接并請(qǐng)求一個(gè)資源(“GET”)。服務(wù)器檢查請(qǐng)求并根據(jù)服務(wù)器配置和包含的內(nèi)容進(jìn)行響應(yīng)。服務(wù)器也許發(fā)送一個(gè)超文本標(biāo)記語(yǔ)言(HTML)文件、文本、圖片、聲音、影像或一個(gè)java applet,它們可以在瀏覽器顯示出來(lái)。服務(wù)器也可以運(yùn)行一個(gè)程序來(lái)響應(yīng)瀏覽器的請(qǐng)求(如通用網(wǎng)關(guān)接口或服務(wù)器的應(yīng)用程序接口)。 
    測(cè)試HTTP連接的一個(gè)簡(jiǎn)易方法(同時(shí)也是一個(gè)潛在的安全漏洞)是telnet到一個(gè)Web服務(wù)器主機(jī)的端口80??梢暂斎搿癎ET/”來(lái)瀏覽站點(diǎn)的基本HTML文檔(如index.html),如下所示(去掉了HTML內(nèi)容): 
$ telnet 80 
Trying… 
Connected to . 
Escape character is ‘^]' 
(在此敲入GET /) GET / 
下面刷的出來(lái)一個(gè)html的文件,例如: 
<html> 
<head> 
<title>老虎之家</title> 
<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 
</head> 

<frameset rows="128,327*" frameborder="YES" border="0" framespacing="0" cols="* 
<frame name="topFrame" scrolling="NO" noresize src="index-3.html" > 
<frame name="mainFrame" src="index-2.html"> 
</frameset> 
<noframes><body bgcolor="#FFFFFF"> 

</body></noframes> 
</html> 
Connection closed by foreign host. 

三、安全風(fēng)險(xiǎn)的分類 
    Web安全風(fēng)險(xiǎn)一般可以分為三類: 
l 對(duì)Web服務(wù)器及其相連LAN的威脅
對(duì)Web客戶機(jī)的威脅
對(duì)服務(wù)器和客戶機(jī)之間的通信信道的威脅 
1.服務(wù)器的風(fēng)險(xiǎn) 
    通常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制,使得不明身份的人無(wú)法獲得非授權(quán)的服務(wù)但是Web服務(wù)器恰恰相反,它希望接受盡可能多的客戶,對(duì)客戶幾乎沒(méi)有任何限制和要求,好了,這樣,相對(duì)于其他網(wǎng)絡(luò)服務(wù)器,Web是最容易受到攻擊的。最常見(jiàn)的威脅是HTTP服務(wù)器軟件中的bug、錯(cuò)誤的配置、不安全的CGI程序或者缺乏強(qiáng)大的機(jī)密功能等等。服務(wù)器通常受到的侵害有:修改和替換服務(wù)器提供的內(nèi)容;獲得對(duì)服務(wù)器訪問(wèn)控制保護(hù)的保密文檔的訪問(wèn)權(quán);在服務(wù)器上執(zhí)行任意命令并破壞服務(wù)器的系統(tǒng)安全;檢查日志文件來(lái)危害用戶的隱私;進(jìn)行服務(wù)拒絕攻擊,使服務(wù)器或者網(wǎng)絡(luò)連接失敗。 
2.客戶端風(fēng)險(xiǎn) 
    瀏覽網(wǎng)頁(yè)是一個(gè)并不十分安全的活動(dòng)。Bug、不合適的“活躍內(nèi)容”和腳本以及服務(wù)器管理可以帶給瀏覽者如下危害:應(yīng)用程序和系統(tǒng)崩潰;包括病毒和特洛一木馬在內(nèi)的惡意代碼;丟失保密的信息;隱私被侵犯等等。 
    主要的Web瀏覽器都支持下載嵌在HTML主頁(yè)中的腳本并在瀏覽器中執(zhí)行他們的功能。通常,這些程序用來(lái)與用戶交互并在瀏覽器和服務(wù)器之間傳輸信息。例如,在Netscape的javascript和微軟的Vbscript中都存在過(guò)bug。甚至在沒(méi)有bug時(shí),對(duì)一個(gè)有惡意的Web管理員來(lái)說(shuō),把能夠突破保密措施或引起嚴(yán)重?fù)p失的腳本放在HTML主頁(yè)中也是挺容易的。一種常見(jiàn)的攻擊方式是創(chuàng)建一個(gè)javascript來(lái)欺騙性的產(chǎn)生一個(gè)錯(cuò)誤信息或一個(gè)提示來(lái)要求用戶提供網(wǎng)絡(luò)登錄ID和口令。其他的客戶風(fēng)險(xiǎn)來(lái)自于隱私的侵犯。許多Web站點(diǎn)為客戶寫了一個(gè)驗(yàn)證cookie,cookie可以跟蹤用戶并暴露他們?nèi)チ耸裁凑军c(diǎn)。按照指定cookie處理的RFC的要求,客戶軟件應(yīng)提供一種方式來(lái)指明cookie應(yīng)該或不應(yīng)該被保存的域。 
3.傳輸安全 
    在Web客戶機(jī)和Web服務(wù)器之間傳輸?shù)男畔⒖赡茉谶B接的任一端或中間任何地方被竊聽(tīng)或截取,包括客戶機(jī)的LAN、服務(wù)器的LAN、客戶機(jī)的ISP、服務(wù)器的ISP、兩個(gè)ISP之間的任何中介網(wǎng)絡(luò)。 
    幸運(yùn)的是,目前IPSec(IP協(xié)議安全體系結(jié)構(gòu))的提出,使得網(wǎng)絡(luò)通信可以通過(guò)在IP層進(jìn)行認(rèn)證和加密。但是目前還沒(méi)有普及。 

四、保護(hù)Web服務(wù)器的安全 
1.選擇安全的服務(wù)器軟件 
    在Linux上有很多的httpd服務(wù)器軟件。例如: 
* America Online Inc. AOLserver2.x 
* Allegro Software RomPager 2.x 
* Apache Group Apache1.x 
* Hawkeye Project Hawkeye 1.x.x 
* Sun Microsystems Java Server 1.x 
* Idonex AB Roxen 1.x 
* Spyglass Spyglass MicroServer 2.x 
* Rapid Logic Inc. WebControl 2.x 
* IMatix Xitami 2.x 
* Zeus Technology Zeus Web Application Server 3 
* VqSoft vqServer 1.x 
    如果大家有興趣,可以到有關(guān)的站點(diǎn)去訪問(wèn),了解其性能和特點(diǎn)。在這些軟件中,Apache無(wú)疑是最為成功的。在Internet上有超過(guò)一半的網(wǎng)站使用Apache。在Apache的最新版本中有以下安全特征: 
* 可以通過(guò)域名、IP地址、用戶和分組來(lái)禁止訪問(wèn) 
* 可以配置用戶分組(而不是單獨(dú)一個(gè)用戶列表) 
* 可以不重啟服務(wù)器來(lái)修改用戶訪問(wèn)控制列表 
* CGI可執(zhí)行程序能在擁有者的UID下執(zhí)行 
* 基于目錄文檔的權(quán)限是分層的 
* 一個(gè)文檔的一部分可以根據(jù)安全規(guī)則被隱藏 
* 支持SSL2.0和3.0 
* 有一個(gè)可用的口令機(jī)制 
* 可以基于URL制定安全規(guī)則 
2.服務(wù)器配置的一般規(guī)則 
    通常,Web服務(wù)器應(yīng)該把一些好的系統(tǒng)安全路徑、配置和工具結(jié)合起來(lái)加強(qiáng)安全。例如: 
盡量讓一個(gè)主機(jī)投入Web服務(wù)器之中,不允許無(wú)理由的交互式登錄。刪除Web管理員帳號(hào)之外的其他用戶
從/etc/inetd.conf中禁止不需要的服務(wù)。如果站點(diǎn)需要ftp功能,那么讓另外一臺(tái)主機(jī)作為ftp服務(wù)器。其他服務(wù)應(yīng)該被禁止或者限制,包括telnet、finger、netstat/systat、echo等等。
刪除不需要的shell和解釋器。如果不運(yùn)行Perl CGI腳本,就刪除Perl
不支持自動(dòng)列目錄、符號(hào)鏈跟隨和服務(wù)器端包含這樣的選項(xiàng)
密切檢測(cè)Web日志
應(yīng)用安全的Web服務(wù)器軟件,如支持Secure Sockets Layer(SSL)的軟件
考慮在一個(gè)chroot環(huán)境中運(yùn)行服務(wù)器
使用防火墻來(lái)控制對(duì)服務(wù)器的訪問(wèn) 
    仔細(xì)規(guī)劃誰(shuí)能訪問(wèn)一個(gè)安全服務(wù)器上的內(nèi)容目錄是很重要的。多數(shù)Web服務(wù)器支持各種訪問(wèn)控制方式。通??梢园言L問(wèn)權(quán)限在指定的IP地址或DNS主機(jī)名中,或指定必須提供口令來(lái)采訪特定目錄的用戶。如果一個(gè)Web服務(wù)器中有保密的公司信息,就需要采取措施保證資料在自己的手中。在一個(gè)服務(wù)器上使用CGI要格外小心。一個(gè)CGI程序可能在系統(tǒng)中做出任何事情,從向外部人員提供訪問(wèn)權(quán)限到刪除重要文件。 

五、保護(hù)Web客戶端的安全 
    客戶端軟件通常是微軟的IE,或是被微軟擠壓的netscape(還好在x-window下使用率比較高),還有簡(jiǎn)單的lynx等等。 
1.好的客戶端安全經(jīng)驗(yàn) 
    要認(rèn)真考慮程序提供的安全設(shè)置,如果禁止了java和javascript,就會(huì)使瀏覽器更安全。應(yīng)定期清理cache和cookie文件,避免去聲譽(yù)不佳的站點(diǎn)以及使用“save”選項(xiàng)合為不可信的文件使用“open”選項(xiàng)。 
2.Mozilla 
    1998年,netscape公司決定發(fā)行navigator的源代碼,并創(chuàng)建一個(gè)單獨(dú)的機(jī)構(gòu)來(lái)監(jiān)控它的發(fā)行與維護(hù):Mozilla.org。我們?nèi)绻袝r(shí)間的話,分析它的源代碼相信對(duì)我們提高客戶端安全有很大好處。詳見(jiàn) 
3.Lynx 
    沒(méi)有圖片,沒(méi)有聲音的文本瀏覽器,我喜歡用它(在Linux下),但是注意,在缺省情況下不支持SSL。 
4.用戶隱私 
    有些站點(diǎn)要求用戶在得到訪問(wèn)權(quán)之前必須登記。多數(shù)站點(diǎn)維護(hù)服務(wù)器日志,這有可能泄漏敏感信息,包括IP地址、ISP、前一個(gè)訪問(wèn)的站點(diǎn)等等。其他站點(diǎn)把cookie推到管道中以便在以后關(guān)聯(lián)用戶訪問(wèn)的站點(diǎn)。 
用戶可以遵循下面的規(guī)則: 
不要求用戶登記
只收集用戶的電子郵件地址而不是完整的聯(lián)系信息
不要與第三方共享電子郵件地址
不要使Web上的日志文件可以被訪問(wèn)
當(dāng)日志文件不再需要時(shí)刪除他們 
    目前,World Wide Web Consortium已經(jīng)開始指定稱為Platform for Privacy Preferences的聲明,允許用戶根據(jù)自己的意愿來(lái)控制身份信息的公布。不過(guò),對(duì)我們國(guó)家不使用。 

六、保護(hù)傳輸安全 
    從用戶的觀點(diǎn)來(lái)看,Web瀏覽可能危害隱私。它允許TCP/IP在兩臺(tái)機(jī)器之間提供一個(gè)匿名的數(shù)據(jù)流,但它不提供保密性、完整性和認(rèn)證服務(wù)。有幾個(gè)方案能為TCP/IP添加一個(gè)安全層,包括Secure Shell(SSH)和Microsoft的PCT。目前Secure Sockets Layer(SSL)占優(yōu)勢(shì)。 
1.SSL 
    SSL是netscape用來(lái)在應(yīng)用協(xié)議(如http、telnet、nntp或者ftp)和更低的TCP/IP層之間提供數(shù)據(jù)安全的協(xié)議。他提供三種基本的安全特征: 
保密性 保密是通過(guò)對(duì)進(jìn)程加密來(lái)實(shí)現(xiàn)的。根據(jù)連接雙方的秘密協(xié)商,對(duì)稱加密的密鑰對(duì)每個(gè)連接都是唯一的
服務(wù)器認(rèn)證 客戶端要檢查一個(gè)有效服務(wù)器的X.508v3證明,不論是一個(gè)RSA公開密鑰證明,一個(gè)數(shù)字簽名標(biāo)準(zhǔn)(DSS)證明,還是一個(gè)Diffie-Hellman證明。證明一般是由可信的證明代理發(fā)出的。
信息完整信 信息完整性(不被改動(dòng)或者丟失)是由MAC(Message Authentication Code)保護(hù)的,它是一個(gè)根據(jù)信息和秘密數(shù)據(jù)進(jìn)行計(jì)算的單項(xiàng)哈希函數(shù)。 
    另外,SSL提供一個(gè)可選的客戶端認(rèn)證。SSL的其他功能以及特殊的服務(wù)器認(rèn)證被廣泛應(yīng)用于電子商務(wù)。雖然不同的Web瀏覽器以不同的方式指明一個(gè)安全的SSL連接,但是以“https://”開始的URL指明在客戶端和服務(wù)器之間已經(jīng)建立了一個(gè)安全的連接。 
詳見(jiàn) 
2.TLS 
    TLS(Transport Layer Security)是由Transport Layer Security Working Group起草的,產(chǎn)生了一個(gè)RFC文檔。 
    TLS用來(lái)建立一個(gè)安全的“會(huì)話”——它是一個(gè)客戶機(jī)和一個(gè)服務(wù)器之間的關(guān)聯(lián),用來(lái)避免進(jìn)行昂貴的協(xié)商來(lái)為每個(gè)新的安全參數(shù)建立一個(gè)額外的連接。該協(xié)議分為上層的TLS Handshake協(xié)議和下層的TLS Record協(xié)議。TLS Handshake協(xié)議為一個(gè)安全的會(huì)話建立加密參數(shù)。當(dāng)使用TLS的客戶端和服務(wù)器建立通信時(shí),他們對(duì)協(xié)議版本達(dá)成一致,選擇加密算法,還可以互相進(jìn)行認(rèn)證,并使用公開密鑰加密技術(shù)來(lái)產(chǎn)生共享的秘密。 
詳見(jiàn) 

3.建立一個(gè)TLS/SSL服務(wù)器 
    多數(shù)商用Web服務(wù)器產(chǎn)品的使用SSL。SSLeay使用了幾個(gè)加密算法,某些可能要求商業(yè)許可證。SSLeay實(shí)現(xiàn)了5個(gè)不同的算法:DES、RSA、RC4、IDEA和Blowfish。RSA的專利屬于美國(guó)。使用它是需要許可證的。 
   SSLeay和OpenSSL都可以集成到Apache Web服務(wù)器中。程序員Ben Laurie開發(fā)了一個(gè)Apache-SSL包,為Apache提供一組補(bǔ)丁程序、一些額外的源代碼、一些幫助文件和配置文件實(shí)例。補(bǔ)丁程序需要用在Apache源代碼中,其結(jié)果與SSLeay或OpenSSL編譯并鏈接。 
    可以從下面的站點(diǎn)下載: 
    如果雙方都知道另一方使用TLS/SSL,那么可以使任何運(yùn)行在任一端口上的基于TCP地協(xié)議得到透明的安全。但是由于實(shí)際原因,為每個(gè)使用TLS/SSL保護(hù)安全的協(xié)議保留了幾個(gè)端口號(hào),這樣允許包過(guò)濾防火墻讓這些安全傳輸通過(guò)。例如: 
名稱    端口號(hào)   描述 
Nsiiops 261/tcp  Iiop名字服務(wù) 
https   443/tcp  http協(xié)議 
Ddm-ssl 448/tcp  DDM-SSL 
Smtps   465/tcp  Smtp協(xié)議 
Nntps   563/tcp  nntp協(xié)議 
Sshell  614/tcp  SSLshell 
Ldaps   636/tcp  Ldap協(xié)議 
ftp-data 989/tcp  ftp協(xié)議和數(shù)據(jù) 
Ftps    990/tcp   ftp控制 
Telnets 992/tcp   telnet協(xié)議 
Imaps   993/tcp   Imap4協(xié)議 
Ircs    994/tcp   Irc協(xié)議 
Pop3s   995/tcp   Pop3協(xié)議 

七、其他 
    大多數(shù)Web服務(wù)器被設(shè)計(jì)成是由超級(jí)用戶啟動(dòng)的。服務(wù)器必須作為root運(yùn)行,使他能監(jiān)視端口80。一旦服務(wù)器開始運(yùn)行,它要改變它的UID中規(guī)定在配置文件中的用戶名。不要像root那樣運(yùn)行你的服務(wù)器,雖然你的服務(wù)器必須用root啟動(dòng),http.conf文件中一定不要包括user root行。如果這樣,你的Web服務(wù)器執(zhí)行的每個(gè)腳本都將作為超級(jí)用戶運(yùn)行,產(chǎn)生許多潛在地問(wèn)題。 
    要當(dāng)心把http和匿名ftp混合。許多站點(diǎn)用相同的目錄來(lái)存儲(chǔ)通過(guò)匿名ftp和通過(guò)網(wǎng)站訪問(wèn)的文檔。例如,你可能有一個(gè)名為/netDocs的目錄,他既是你的ftp用戶的主目錄又是你的Web服務(wù)器的根目錄。這就允許把文件歸到兩類URLS,例如或者。在ftp上的http的主要優(yōu)點(diǎn)是速度快、效率高。但是混合出現(xiàn)了各種安全問(wèn)題: 
允許匿名ftp訪問(wèn)http目錄,給用戶提供了在任何Web服務(wù)器上限制對(duì)文件的訪問(wèn)的辦法。因此,如果在你的Web服務(wù)器上有機(jī)密文件長(zhǎng)久使用這個(gè)辦法,可能失去文件的機(jī)密性。
如果一個(gè)攻擊者能下載你的CGI腳本,他可以搜索出攻擊的路徑。
你必須完全的確保ftp用戶無(wú)法上載一個(gè)能在你的服務(wù)器上運(yùn)行的腳本
顯示給你的/etc/passwd文件也可能被用WWW服務(wù)的人見(jiàn)到,從而導(dǎo)致它的內(nèi)容受破壞。 
    另外,還有一些注意事項(xiàng): 
刪除不必要的用戶(前面提到過(guò))
不要安放NFS或輸出任何目錄
刪除所有的編譯程序 
刪除所有的不是用作引導(dǎo)或者Web服務(wù)器的實(shí)用程序
提供盡可能少的網(wǎng)絡(luò)服務(wù)(再次重申)
不要運(yùn)行郵件服務(wù)器 
    如果想知道更多關(guān)于HTTP/WWW的安全知識(shí),請(qǐng)?jiān)L問(wèn) 

相關(guān)文章

最新評(píng)論