要投巨資維護(hù)Web站點(diǎn)的安全。另一個(gè)最近的例子是，國內(nèi)最大的綜合性網(wǎng)站新浪在某天上午被黑客成功攻擊，其門戶頁面被換成了黃色頁面。給新浪造成了不小的副作用。這兩個(gè)例子說明了Web站點(diǎn)的安全是十分重要的，可以說，隨著Internet的飛速發(fā)展，Web的安全其重要性逐漸超過其他應(yīng)用安全。同時(shí)，由于Web必須要有開放性，這就是說，必須讓任何人都能夠有訪問的權(quán)利，因此，使得防范更加困難。 
    Web的安全分為服務(wù)器安全和客戶端安全（瀏覽器），前者主要針對Web的構(gòu)建者，后者針對普通的用戶。本章將就這兩方面展開討論。 

二、什么是HTTP 
    HTTP（Hypertext Transfer Protocol）超文本傳輸協(xié)議允許用戶從WWW(World Wide Web)以及其他分布式信息系統(tǒng)請求和接受超文本的內(nèi)容。它運(yùn)行在TCP之上并用綁定服務(wù)器端口80，然后它還可以使用其他端口和協(xié)議來提供一個(gè)可靠的數(shù)據(jù)流。它是一個(gè)請求/響應(yīng)協(xié)議。為了獲得信息，一個(gè)瀏覽器客戶程序（如netscape）向一個(gè)Apache服務(wù)器建立一個(gè)TCP連接并請求一個(gè)資源（“GET”）。服務(wù)器檢查請求并根據(jù)服務(wù)器配置和包含的內(nèi)容進(jìn)行響應(yīng)。服務(wù)器也許發(fā)送一個(gè)超文本標(biāo)記語言（HTML）文件、文本、圖片、聲音、影像或一個(gè)java applet，它們可以在瀏覽器顯示出來。服務(wù)器也可以運(yùn)行一個(gè)程序來響應(yīng)瀏覽器的請求（如通用網(wǎng)關(guān)接口或服務(wù)器的應(yīng)用程序接口）。 
    測試HTTP連接的一個(gè)簡易方法（同時(shí)也是一個(gè)潛在的安全漏洞）是telnet到一個(gè)Web服務(wù)器主機(jī)的端口80?？梢暂斎搿癎ET/”來瀏覽站點(diǎn)的基本HTML文檔（如index.html），如下所示（去掉了HTML內(nèi)容）： 
$ telnet 80 
Trying… 
Connected to . 
Escape character is ‘^]' 
(在此敲入GET /) GET / 
下面刷的出來一個(gè)html的文件，例如： 
<html> 
<head> 
<title>老虎之家</title> 
<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 
</head> 

<frameset rows="128,327*" frameborder="YES" border="0" framespacing="0" cols="* 
<frame name="topFrame" scrolling="NO" noresize src="index-3.html" > 
<frame name="mainFrame" src="index-2.html"> 
</frameset> 
<noframes><body bgcolor="#FFFFFF"> 

</body></noframes> 
</html> 
Connection closed by foreign host. 

三、安全風(fēng)險(xiǎn)的分類 
    Web安全風(fēng)險(xiǎn)一般可以分為三類： 
l 對Web服務(wù)器及其相連LAN的威脅
對Web客戶機(jī)的威脅
對服務(wù)器和客戶機(jī)之間的通信信道的威脅 
1．服務(wù)器的風(fēng)險(xiǎn) 
    通常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制，使得不明身份的人無法獲得非授權(quán)的服務(wù)但是Web服務(wù)器恰恰相反，它希望接受盡可能多的客戶，對客戶幾乎沒有任何限制和要求，好了，這樣，相對于其他網(wǎng)絡(luò)服務(wù)器，Web是最容易受到攻擊的。最常見的威脅是HTTP服務(wù)器軟件中的bug、錯(cuò)誤的配置、不安全的CGI程序或者缺乏強(qiáng)大的機(jī)密功能等等。服務(wù)器通常受到的侵害有：修改和替換服務(wù)器提供的內(nèi)容；獲得對服務(wù)器訪問控制保護(hù)的保密文檔的訪問權(quán)；在服務(wù)器上執(zhí)行任意命令并破壞服務(wù)器的系統(tǒng)安全；檢查日志文件來危害用戶的隱私；進(jìn)行服務(wù)拒絕攻擊，使服務(wù)器或者網(wǎng)絡(luò)連接失敗。 
2．客戶端風(fēng)險(xiǎn) 
    瀏覽網(wǎng)頁是一個(gè)并不十分安全的活動(dòng)。Bug、不合適的“活躍內(nèi)容”和腳本以及服務(wù)器管理可以帶給瀏覽者如下危害：應(yīng)用程序和系統(tǒng)崩潰；包括病毒和特洛一木馬在內(nèi)的惡意代碼；丟失保密的信息；隱私被侵犯等等。 
    主要的Web瀏覽器都支持下載嵌在HTML主頁中的腳本并在瀏覽器中執(zhí)行他們的功能。通常，這些程序用來與用戶交互并在瀏覽器和服務(wù)器之間傳輸信息。例如，在Netscape的javascript和微軟的Vbscript中都存在過bug。甚至在沒有bug時(shí)，對一個(gè)有惡意的Web管理員來說，把能夠突破保密措施或引起嚴(yán)重?fù)p失的腳本放在HTML主頁中也是挺容易的。一種常見的攻擊方式是創(chuàng)建一個(gè)javascript來欺騙性的產(chǎn)生一個(gè)錯(cuò)誤信息或一個(gè)提示來要求用戶提供網(wǎng)絡(luò)登錄ID和口令。其他的客戶風(fēng)險(xiǎn)來自于隱私的侵犯。許多Web站點(diǎn)為客戶寫了一個(gè)驗(yàn)證cookie,cookie可以跟蹤用戶并暴露他們?nèi)チ耸裁凑军c(diǎn)。按照指定cookie處理的RFC的要求，客戶軟件應(yīng)提供一種方式來指明cookie應(yīng)該或不應(yīng)該被保存的域。 
3．傳輸安全 
    在Web客戶機(jī)和Web服務(wù)器之間傳輸?shù)男畔⒖赡茉谶B接的任一端或中間任何地方被竊聽或截取，包括客戶機(jī)的LAN、服務(wù)器的LAN、客戶機(jī)的ISP、服務(wù)器的ISP、兩個(gè)ISP之間的任何中介網(wǎng)絡(luò)。 
    幸運(yùn)的是，目前IPSec(IP協(xié)議安全體系結(jié)構(gòu))的提出，使得網(wǎng)絡(luò)通信可以通過在IP層進(jìn)行認(rèn)證和加密。但是目前還沒有普及。 

四、保護(hù)Web服務(wù)器的安全 
1．選擇安全的服務(wù)器軟件 
    在Linux上有很多的httpd服務(wù)器軟件。例如： 
* America Online Inc. AOLserver2.x 
* Allegro Software RomPager 2.x 
* Apache Group Apache1.x 
* Hawkeye Project Hawkeye 1.x.x 
* Sun Microsystems Java Server 1.x 
* Idonex AB Roxen 1.x 
* Spyglass Spyglass MicroServer 2.x 
* Rapid Logic Inc. WebControl 2.x 
* IMatix Xitami 2.x 
* Zeus Technology Zeus Web Application Server 3 
* VqSoft vqServer 1.x 
    如果大家有興趣，可以到有關(guān)的站點(diǎn)去訪問，了解其性能和特點(diǎn)。在這些軟件中，Apache無疑是最為成功的。在Internet上有超過一半的網(wǎng)站使用Apache。在Apache的最新版本中有以下安全特征： 
* 可以通過域名、IP地址、用戶和分組來禁止訪問 
* 可以配置用戶分組（而不是單獨(dú)一個(gè)用戶列表） 
* 可以不重啟服務(wù)器來修改用戶訪問控制列表 
* CGI可執(zhí)行程序能在擁有者的UID下執(zhí)行 
* 基于目錄文檔的權(quán)限是分層的 
* 一個(gè)文檔的一部分可以根據(jù)安全規(guī)則被隱藏 
* 支持SSL2.0和3.0 
* 有一個(gè)可用的口令機(jī)制 
* 可以基于URL制定安全規(guī)則 
2．服務(wù)器配置的一般規(guī)則 
    通常，Web服務(wù)器應(yīng)該把一些好的系統(tǒng)安全路徑、配置和工具結(jié)合起來加強(qiáng)安全。例如： 
盡量讓一個(gè)主機(jī)投入Web服務(wù)器之中，不允許無理由的交互式登錄。刪除Web管理員帳號(hào)之外的其他用戶
從/etc/inetd.conf中禁止不需要的服務(wù)。如果站點(diǎn)需要ftp功能，那么讓另外一臺(tái)主機(jī)作為ftp服務(wù)器。其他服務(wù)應(yīng)該被禁止或者限制，包括telnet、finger、netstat/systat、echo等等。
刪除不需要的shell和解釋器。如果不運(yùn)行Perl CGI腳本，就刪除Perl
不支持自動(dòng)列目錄、符號(hào)鏈跟隨和服務(wù)器端包含這樣的選項(xiàng)
密切檢測Web日志
應(yīng)用安全的Web服務(wù)器軟件，如支持Secure Sockets Layer(SSL)的軟件
考慮在一個(gè)chroot環(huán)境中運(yùn)行服務(wù)器
使用防火墻來控制對服務(wù)器的訪問 
    仔細(xì)規(guī)劃誰能訪問一個(gè)安全服務(wù)器上的內(nèi)容目錄是很重要的。多數(shù)Web服務(wù)器支持各種訪問控制方式。通?？梢园言L問權(quán)限在指定的IP地址或DNS主機(jī)名中，或指定必須提供口令來采訪特定目錄的用戶。如果一個(gè)Web服務(wù)器中有保密的公司信息，就需要采取措施保證資料在自己的手中。在一個(gè)服務(wù)器上使用CGI要格外小心。一個(gè)CGI程序可能在系統(tǒng)中做出任何事情，從向外部人員提供訪問權(quán)限到刪除重要文件。 

五、保護(hù)Web客戶端的安全 
    客戶端軟件通常是微軟的IE，或是被微軟擠壓的netscape（還好在x-window下使用率比較高）,還有簡單的lynx等等。 
1．好的客戶端安全經(jīng)驗(yàn) 
    要認(rèn)真考慮程序提供的安全設(shè)置，如果禁止了java和javascript，就會(huì)使瀏覽器更安全。應(yīng)定期清理cache和cookie文件，避免去聲譽(yù)不佳的站點(diǎn)以及使用“save”選項(xiàng)合為不可信的文件使用“open”選項(xiàng)。 
2．Mozilla 
    1998年，netscape公司決定發(fā)行navigator的源代碼，并創(chuàng)建一個(gè)單獨(dú)的機(jī)構(gòu)來監(jiān)控它的發(fā)行與維護(hù)：Mozilla.org。我們?nèi)绻袝r(shí)間的話，分析它的源代碼相信對我們提高客戶端安全有很大好處。詳見 
3．Lynx 
    沒有圖片，沒有聲音的文本瀏覽器，我喜歡用它（在Linux下），但是注意，在缺省情況下不支持SSL。 
4．用戶隱私 
    有些站點(diǎn)要求用戶在得到訪問權(quán)之前必須登記。多數(shù)站點(diǎn)維護(hù)服務(wù)器日志，這有可能泄漏敏感信息，包括IP地址、ISP、前一個(gè)訪問的站點(diǎn)等等。其他站點(diǎn)把cookie推到管道中以便在以后關(guān)聯(lián)用戶訪問的站點(diǎn)。 
用戶可以遵循下面的規(guī)則： 
不要求用戶登記
只收集用戶的電子郵件地址而不是完整的聯(lián)系信息
不要與第三方共享電子郵件地址
不要使Web上的日志文件可以被訪問
當(dāng)日志文件不再需要時(shí)刪除他們 
    目前，World Wide Web Consortium已經(jīng)開始指定稱為Platform for Privacy Preferences的聲明，允許用戶根據(jù)自己的意愿來控制身份信息的公布。不過，對我們國家不使用。 

六、保護(hù)傳輸安全 
    從用戶的觀點(diǎn)來看，Web瀏覽可能危害隱私。它允許TCP/IP在兩臺(tái)機(jī)器之間提供一個(gè)匿名的數(shù)據(jù)流，但它不提供保密性、完整性和認(rèn)證服務(wù)。有幾個(gè)方案能為TCP/IP添加一個(gè)安全層，包括Secure Shell(SSH)和Microsoft的PCT。目前Secure Sockets Layer（SSL）占優(yōu)勢。 
1．SSL 
    SSL是netscape用來在應(yīng)用協(xié)議（如http、telnet、nntp或者ftp）和更低的TCP/IP層之間提供數(shù)據(jù)安全的協(xié)議。他提供三種基本的安全特征： 
保密性 保密是通過對進(jìn)程加密來實(shí)現(xiàn)的。根據(jù)連接雙方的秘密協(xié)商，對稱加密的密鑰對每個(gè)連接都是唯一的
服務(wù)器認(rèn)證 客戶端要檢查一個(gè)有效服務(wù)器的X.508v3證明，不論是一個(gè)RSA公開密鑰證明，一個(gè)數(shù)字簽名標(biāo)準(zhǔn)（DSS）證明，還是一個(gè)Diffie-Hellman證明。證明一般是由可信的證明代理發(fā)出的。
信息完整信 信息完整性（不被改動(dòng)或者丟失）是由MAC（Message Authentication Code）保護(hù)的，它是一個(gè)根據(jù)信息和秘密數(shù)據(jù)進(jìn)行計(jì)算的單項(xiàng)哈希函數(shù)。 
    另外，SSL提供一個(gè)可選的客戶端認(rèn)證。SSL的其他功能以及特殊的服務(wù)器認(rèn)證被廣泛應(yīng)用于電子商務(wù)。雖然不同的Web瀏覽器以不同的方式指明一個(gè)安全的SSL連接，但是以“https://”開始的URL指明在客戶端和服務(wù)器之間已經(jīng)建立了一個(gè)安全的連接。 
詳見 
2．TLS 
    TLS(Transport Layer Security)是由Transport Layer Security Working Group起草的，產(chǎn)生了一個(gè)RFC文檔。 
    TLS用來建立一個(gè)安全的“會(huì)話”——它是一個(gè)客戶機(jī)和一個(gè)服務(wù)器之間的關(guān)聯(lián)，用來避免進(jìn)行昂貴的協(xié)商來為每個(gè)新的安全參數(shù)建立一個(gè)額外的連接。該協(xié)議分為上層的TLS Handshake協(xié)議和下層的TLS Record協(xié)議。TLS Handshake協(xié)議為一個(gè)安全的會(huì)話建立加密參數(shù)。當(dāng)使用TLS的客戶端和服務(wù)器建立通信時(shí)，他們對協(xié)議版本達(dá)成一致，選擇加密算法，還可以互相進(jìn)行認(rèn)證，并使用公開密鑰加密技術(shù)來產(chǎn)生共享的秘密。 
詳見 

3．建立一個(gè)TLS/SSL服務(wù)器 
    多數(shù)商用Web服務(wù)器產(chǎn)品的使用SSL。SSLeay使用了幾個(gè)加密算法，某些可能要求商業(yè)許可證。SSLeay實(shí)現(xiàn)了5個(gè)不同的算法：DES、RSA、RC4、IDEA和Blowfish。RSA的專利屬于美國。使用它是需要許可證的。 
   SSLeay和OpenSSL都可以集成到Apache Web服務(wù)器中。程序員Ben Laurie開發(fā)了一個(gè)Apache-SSL包，為Apache提供一組補(bǔ)丁程序、一些額外的源代碼、一些幫助文件和配置文件實(shí)例。補(bǔ)丁程序需要用在Apache源代碼中，其結(jié)果與SSLeay或OpenSSL編譯并鏈接。 
    可以從下面的站點(diǎn)下載： 
    如果雙方都知道另一方使用TLS/SSL，那么可以使任何運(yùn)行在任一端口上的基于TCP地協(xié)議得到透明的安全。但是由于實(shí)際原因，為每個(gè)使用TLS/SSL保護(hù)安全的協(xié)議保留了幾個(gè)端口號(hào)，這樣允許包過濾防火墻讓這些安全傳輸通過。例如： 
名稱    端口號(hào)   描述 
Nsiiops 261/tcp  Iiop名字服務(wù) 
https   443/tcp  http協(xié)議 
Ddm-ssl 448/tcp  DDM-SSL 
Smtps   465/tcp  Smtp協(xié)議 
Nntps   563/tcp  nntp協(xié)議 
Sshell  614/tcp  SSLshell 
Ldaps   636/tcp  Ldap協(xié)議 
ftp-data 989/tcp  ftp協(xié)議和數(shù)據(jù) 
Ftps    990/tcp   ftp控制 
Telnets 992/tcp   telnet協(xié)議 
Imaps   993/tcp   Imap4協(xié)議 
Ircs    994/tcp   Irc協(xié)議 
Pop3s   995/tcp   Pop3協(xié)議 

七、其他 
    大多數(shù)Web服務(wù)器被設(shè)計(jì)成是由超級用戶啟動(dòng)的。服務(wù)器必須作為root運(yùn)行，使他能監(jiān)視端口80。一旦服務(wù)器開始運(yùn)行，它要改變它的UID中規(guī)定在配置文件中的用戶名。不要像root那樣運(yùn)行你的服務(wù)器，雖然你的服務(wù)器必須用root啟動(dòng)，http.conf文件中一定不要包括user root行。如果這樣，你的Web服務(wù)器執(zhí)行的每個(gè)腳本都將作為超級用戶運(yùn)行，產(chǎn)生許多潛在地問題。 
    要當(dāng)心把http和匿名ftp混合。許多站點(diǎn)用相同的目錄來存儲(chǔ)通過匿名ftp和通過網(wǎng)站訪問的文檔。例如，你可能有一個(gè)名為/netDocs的目錄，他既是你的ftp用戶的主目錄又是你的Web服務(wù)器的根目錄。這就允許把文件歸到兩類URLS,例如或者。在ftp上的http的主要優(yōu)點(diǎn)是速度快、效率高。但是混合出現(xiàn)了各種安全問題： 
允許匿名ftp訪問http目錄，給用戶提供了在任何Web服務(wù)器上限制對文件的訪問的辦法。因此，如果在你的Web服務(wù)器上有機(jī)密文件長久使用這個(gè)辦法，可能失去文件的機(jī)密性。
如果一個(gè)攻擊者能下載你的CGI腳本，他可以搜索出攻擊的路徑。
你必須完全的確保ftp用戶無法上載一個(gè)能在你的服務(wù)器上運(yùn)行的腳本
顯示給你的/etc/passwd文件也可能被用WWW服務(wù)的人見到，從而導(dǎo)致它的內(nèi)容受破壞。 
    另外，還有一些注意事項(xiàng)： 
刪除不必要的用戶（前面提到過）
不要安放NFS或輸出任何目錄
刪除所有的編譯程序 
刪除所有的不是用作引導(dǎo)或者Web服務(wù)器的實(shí)用程序
提供盡可能少的網(wǎng)絡(luò)服務(wù)（再次重申）
不要運(yùn)行郵件服務(wù)器 
    如果想知道更多關(guān)于HTTP/WWW的安全知識(shí)，請?jiān)L問 

最新評論