Web服務(wù)器的安全和攻擊防范(1)

2024-09-10 00:02:49

字體：大中小

供稿：網(wǎng)友

　分析一下最近幾個月信用卡號碼被盜和網(wǎng)站被黑所顯示的種種安全問題，可以很清楚地看出，許多Web應(yīng)用都是湊合著運(yùn)行，很少有人關(guān)注其安全問題或作出安全規(guī)劃。那么，造成服務(wù)器缺乏安全保障的常見原因有哪些？如何防范這些不安全因素？作為客戶或者最終用戶，如何才能信任某個服務(wù)器符合了基本的安全需求？

　　對于以往安全事故的分析表明，大多數(shù)安全問題都屬于下面三種類型之一：

服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)。
服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了可公開訪問的區(qū)域。
服務(wù)器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)。

　　提供不應(yīng)該提供的服務(wù)

　　顯然，許多服務(wù)器管理員從來沒有從另一個角度來看看他們的服務(wù)器，例如使用端口掃描程序。如果他們曾經(jīng)這樣做了，就不會在自己的系統(tǒng)上運(yùn)行那么多的服務(wù)，而這些服務(wù)原本無需在正式提供Web服務(wù)的機(jī)器上運(yùn)行，或者這些服務(wù)原本無需面向公眾開放。

　　與這種錯誤經(jīng)常相伴的是，為了進(jìn)行維護(hù)而運(yùn)行某些不安全的、可用于竊取信息的協(xié)議。例如，有些Web服務(wù)器常常為了收集訂單而提供POP3服務(wù)，或者為了上載新的頁面內(nèi)容而提供FTP服務(wù)甚至數(shù)據(jù)庫服務(wù)。在某些地方這些協(xié)議可能提供安全認(rèn)證（比如APOP）甚至安全傳輸（比如POP或者FTP的SSL版本），但更多的時候，人們使用的是這些協(xié)議的非安全版本。有些協(xié)議，比如msql數(shù)據(jù)庫服務(wù)，則幾乎沒有提供任何驗(yàn)證機(jī)制。

　　從公司外面訪問自己的網(wǎng)絡(luò)，完整地檢測、模擬攻擊自己的網(wǎng)站看看會發(fā)生些什么，這對于Web管理者來說是一個很好的建議。有些服務(wù)在機(jī)器安裝之后的默認(rèn)配置中已經(jīng)啟動，或者由于安裝以及初始設(shè)置的需要而啟動了某些服務(wù)，這些服務(wù)可能還沒有正確地關(guān)閉。例如，有些系統(tǒng)提供的Web服務(wù)器會在非標(biāo)準(zhǔn)的端口上提供編程示范以及系統(tǒng)手冊，它們往往包含錯誤的程序代碼并成為安全隱患所在。正式運(yùn)行的、可從Internet訪問的Web服務(wù)器不應(yīng)該運(yùn)行這些服務(wù)，請務(wù)必關(guān)閉這些服務(wù)。

　　另外一種攻擊者經(jīng)常利用的資源是SNMP協(xié)議（簡單網(wǎng)絡(luò)管理協(xié)議，Simple Network Management Protocol)。它可能為攻擊者提供有關(guān)系統(tǒng)和網(wǎng)絡(luò)布局的極其詳細(xì)和寶貴的信息。由于SNMP是一種UDP服務(wù)，比較簡單的安全檢查不會發(fā)現(xiàn)它。

　　當(dāng)然，需要保護(hù)的不僅僅是Web服務(wù)器，在防火墻外面的所有其他機(jī)器更必須遵從同樣的安全標(biāo)準(zhǔn)。

上一篇：服務(wù)器安全配置精華技巧(2)

下一篇：Windows Internet服務(wù)器安全配置原理篇