`
ljay
  • 浏览: 6393 次
  • 性别: Icon_minigender_1
  • 来自: 广州
最近访客 更多访客>>
社区版块
存档分类
最新评论

Web服务器安全指南

阅读更多

在计算机网络日益普及的今天,计算机安全不但要求防治计算机病毒,而且要提高系统抵抗黑客非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。本文仅仅讨论在构造Web服务器时可能出现的一些情况,希望能引起重视。

一、安全漏洞

Web服务器上的漏洞可以从以下几方面考虑:

1.在Web服务器上你不让人访问的秘密文件、目录或重要数据。

2.从远程用户向服务器发送信息时,特别是信用卡之类东西时,中途遭不法分子非法拦截。

3.Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。

4.CGI安全方面的漏洞有:

(1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。

(2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Search index),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。

5.还有一些简单的从网上下载的Web服务器,没有过多考虑到一些安全因素,不能用作商业应用。

因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性。尽量堵住任何存在的漏洞,创造安全的环境。

二. 提高系统安全性和稳定性

Web服务器安全预防措施:

1.限制在Web服务器开账户,定期删除一些断进程的用户。

2.对在Web服务器上开的账户,在口令长度及定期更改方面作出要求,防止被盗用。

3.尽量使FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS, NFS,finger,netstat等一些无关的应用。

4.在Web服务器上去掉一些绝对不用的如SHELL之类的解释器,即当在你的CGI的程序中没用到PERL时,就尽量把PERL在系统解释器中删除掉。

5.定期查看服务器中的日志logs文件,分析一切可疑事件。在errorlog中出现rm, login, /bin/perl, /bin/sh等之类记录时,你的服务器可能已经受到了一些非法用户的入侵。

6.设置好Web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组,如WWW,并只分配它只读的权利。把所有的HTML文件归属WWW组,由Web管理员管理WWW组。对于Web的配置文件仅对Web管理员有写的权利。

7.有些Web服务器把Web的文档目录与FTP目录指在同一目录时,应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些如PERL或SH之类程序,并用Web的CGI-BIN去执行,造成不良后果。

8.通过限制许可访问用户IP或DNS,如在NCSA中的access.conf中加上:

 

 

《Directory /full/path/to/directory》

 

《Limit GET POST》

 

order mutual-failure

 

deny from all

 

allow from 168.160.142. abc.net.cn

 

《/Limit》

 

《/Directory》

 

这样只能是以域名为abc.net.cn或IP属于168.160.142的客户访问该Web服务器。

对于CERN或W3C服务器可以这样在httpd.conf中加上:

 

 

Protection LOCAL-USERS {

 

GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)

 

}

 

Protect /relative/path/to/directory/* LOCAL-USERS

 

9.WINDOWS下HTTPD

 

(1)Netscape Communications Server for NT

 

 

PERL解释器的漏洞:

Netscape Communications Server中无法识别CGI-BIN下的扩展名及其应用关系,如.pl文件是PERL的代码程序自动调用的解释文件,即使现在也只能把perl.exe文件存放在CGI-BIN目录之下。执行如:/cgi-bin/perl.exe?&my_script.pl。但是这就给任何人都有执行PERL的可能,当有些人在其浏览器的URL中加上如:/cgi-bin/perl.exe?&-e unlink <*>时,有可能造成删除服务器当前目录下文件的危险。但是,其他如:O′Reilly WebSite或Purveyor都不存在这种漏洞。

CGI执行批处理文件的漏洞:

文件test.bat的内容如下:

 

 

@echo off

 

echo Content-type: text/plain

 

echo

 

echo Hello World!

 

如果客户浏览器的URL为:/cgi-bin/test.bat?&dir,则执行调用命令解释器完成DIR列表。这就让访问者有执行其他命令可能性。

(2)O′Reilly WebSite server for Windows NT/95

在WebSite1.1B以前的版本中使用批处理文件存在着与Netscape同样的漏洞,但是,新版关闭了.bat在CGI中的作用。支持PERL,新版将VB和C作为CGI开发工具。

(3)Microsoft′s IIS Web Server

1996年3月5日前的IIS在NT下的BUG严重,可以任意使用command命令。但之后已修补了该漏洞,你可检查你的可执行文件的建立日期。IIS3.0还存在一些安全BUG,主要是CGI-BIN下的覆给权利。另外,许多Web服务器本身都存在一些安全上的漏洞,都是在版本升级过程中被不断更新了,在此就不一一列举了。

三、从CGI编程角度考虑安全。

1.采用编译语言比解释语言会更安全些,并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下,这是为了防止一些非法访问者从浏览器端取得解释性语言的原代码后从中寻找漏洞。

2.在用C来编写CGI程序时应尽量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之类命令。

在由用户填写的form还回CGI时,不要直接调用system()之类函数。

另外,对于数据的加密与传输,目前有SSL、SHTTP、SHEN等协议供大家研究。

四、防火墙(Firewall)

1.防火墙的概念

防火墙(Firewall)是指一个由软件或由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。

2.防火墙的措施

(1)代理(Proxy)主机"内部网络--代理网关(Proxy Gateway)--Internet"

这种方式是内部网络与Internet不直接通讯。就是内部网络计算机用户与代理网关采用一种通讯方式,即提供内部网络协议(Netbios、TCP/IP等),而网关与Internet之间采取的是标准TCP/IP网络通讯协议。这样使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理网关访问Internet,这样容易在代理服务器上对内部网络计算机访问外界计算机进行限制。另外,由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有,代理服务器的网关可对数据封包进行验证和对密码进行确认等安全管制。这样,能较好地控制管理两端的用户,起到防火墙作用。

因为这种防火墙措施是采用透过代理服务器进行,在联机用户多时,效率必然受到影响,代理服务器负担很重,所以许多访问Internet的客户软件在内部网络计算机中可能无法正常访问Internet。

(2)路由器加过滤器完成

"内部网络--过滤器(Filter)--路由器(Router)--Internet"

这种结构由路由器和过滤器共同完成从IP地址或域名上对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问Internet。路由器仅对主机上特定的PORT上的数据通讯加以路由,而过滤器则执行筛选、过滤、验证及其安全监控,这样可以很大程度上隔断内外网络间的不正常的访问登录。

 

分享到:
评论

相关推荐

    Web服务器安全完全指南

     安全漏洞 Web服务器上的漏洞可以从以下几方面考虑: 1.在Web服务器上你不让人访问的秘密文件、目录或重要数据。 2.从远程用户向服务器发送信息时,特别是信用卡之类东西时,中途遭不法分子非法拦截。 3.Web服务器...

    WEB服务器应用指南.rar

    《WEB服务器应用指南》这份资料深入浅出地介绍了WEB服务器的构建、配置和优化,旨在帮助用户更好地理解和操作WEB服务器。下面将详细阐述其中的知识点。 一、WEB服务器基础 WEB服务器是互联网上的一个重要组成部分,...

    WEB之困-现代WEB应用安全指南

    《WEB之困-现代WEB应用安全指南》是一本深度探讨现代WEB应用安全问题的专业书籍,旨在帮助开发者和安全专家理解并解决在构建和维护WEB应用过程中可能遇到的安全挑战。本书全面覆盖了WEB应用安全的各个层面,从基础的...

    Windows 2003 WEB服务器安全配置指南

    《Windows 2003 WEB服务器安全配置指南》是一份针对Windows 2003操作系统下的Web服务器安全强化措施的详细指导。以下是该指南中提到的一些关键知识点: 1. **磁盘格式转换**:为了更好地控制文件权限,推荐将系统盘...

    微型web服务器-单文件

    标题中的"微型web服务器-单文件"指出,这个软件仅由一个文件组成,这意味着它可能是一个高度精简的实现,无需复杂的安装过程,只需执行即可开始服务。 描述中提到,该服务器适用于“一般的web服务”,这可能意味着...

    Windows_2003_Web服务器安全设置指南.pdf

    Windows_2003_Web服务器安全设置指南.pdf

    miniweb服务器一键搭建静态网站

    标题中的"miniweb服务器一键搭建静态网站"表明我们要讨论的是一个小型、简易的Web服务器软件,主要用于快速构建静态网页服务。这种服务器可能设计简洁,易于安装和操作,适合个人开发者或者小型团队进行本地开发和...

    基于QT的轻量级web服务器

    【基于QT的轻量级web服务器】是一种在Linux环境下运行的、使用QT库开发的简易Web服务器。QT是一个跨平台的C++图形用户界面应用程序开发框架,它为开发者提供了丰富的API,使得构建桌面和移动应用变得更为便捷。在这...

    web-server WEB服务器

    8. **安全考虑**:了解常见的Web服务器安全问题,如跨站脚本(XSS)、跨站请求伪造(CSRF)以及如何实施基本的安全策略。 9. **日志记录**:学习如何记录服务器活动以便调试和性能分析。 10. **性能优化**:讨论缓存...

    windows 2003 web服务器安全配置指南图解 修改注册表.doc

    《Windows 2003 Web服务器安全配置指南》 Windows 2003 Web服务器的安全配置是确保系统稳定运行和数据安全的关键步骤。本指南主要针对注册表修改和系统优化,旨在提高服务器的安全性,防止恶意攻击和未经授权的访问...

    简易个人WEB服务器

    【简易个人WEB服务器】 在数字化时代,个人网页和网站已经成为表达自我、分享信息的重要平台。然而,对于非专业人员来说,搭建一个Web服务器可能显得既复杂又费时。"简易个人WEB服务器"软件解决了这个问题,它提供...

    个人WEB服务器 2.0

    【个人WEB服务器 2.0】是一款专为个人用户设计的轻量级Web服务器软件,它使得用户可以在自己的计算机上搭建起属于自己的网站,进行网页浏览、数据共享、测试网页应用等多种用途。这款2.0版本可能在原有基础上提升了...

    Oracle Web 应用服务器开发指南.rar

    在“Oracle Web应用服务器开发指南”中,我们可以深入探讨以下几个关键知识点: 1. **Oracle WebLogic Server**: Oracle Web应用服务器的核心是Oracle WebLogic Server,这是一款功能强大的Java EE(Java Platform,...

    紫雨轩web服务器.rar

    5. **安全特性**:尽管是轻量级服务器,紫雨轩Web服务器仍具备一些基本的安全防护措施,如限制IP访问、设置防火墙规则等。 6. **本地开发环境**:对于网页开发者来说,紫雨轩Web服务器提供了一个便捷的本地开发环境...

    Web服务器的组建与.ppt

    总的来说,Web服务器的组建与配置涉及到网络基础、服务器操作系统、安全策略等多个方面,理解这些知识点对于管理和维护Web服务至关重要。无论是IIS还是Apache,都需要根据实际需求进行定制化配置,以提供高效、安全...

    最快的免费web服务器

    ### 最快的免费Web服务器——Cherokee的搭建与配置 #### 概述 在探讨“最快的免费Web服务器”这一主题时,文章明确指出Cherokee是一款备受赞誉的Web服务器软件,其性能表现甚至超过了广为人知的Nginx。Cherokee...

    Nginx高性能Web服务器详解(完整版)pdf下载

    Nginx是一款高性能的Web服务器,它以其反向代理、负载均衡、静态文件处理和高效非阻塞I/O模型而闻名。Nginx的设计理念是轻量级、高并发,因此在处理高流量网站时表现出色。以下是Nginx的一些核心知识点: 1. **模块...

    Apache_Security_1ed_TOC_and_Preface.pdf

    从文件内容来看,《Apache Security》这本书旨在提供全面的Apache Web服务器安全指南,涵盖了从基本原理到具体配置的各个层面,对于确保Web应用的安全运行提供了一套完整的理论和实践框架。书中的内容不仅适用于初学...

    windows2003web服务器安全.ppt

    本文将深入探讨如何强化Windows 2003 Web服务器的安全,涵盖物理安全、操作系统安全、应用程序安全以及具体的防护措施。 首先,计算机安全的基础是人为因素。人员培训是防止安全威胁的关键,员工应接受定期的计算机...

Global site tag (gtag.js) - Google Analytics