http www安全必備知識

2019-11-02 16:42:13

字體：大中小

供稿：網(wǎng)友

要投巨資維護(hù)Web站點的安全。另一個最近的例子是，國內(nèi)最大的綜合性網(wǎng)站新浪在某天上午被黑客成功攻擊，其門戶頁面被換成了黃色頁面。給新浪造成了不小的副作用。這兩個例子說明了Web站點的安全是十分重要的，可以說，隨著Internet的飛速發(fā)展，Web的安全其重要性逐漸超過其他應(yīng)用安全。同時，由于Web必須要有開放性，這就是說，必須讓任何人都能夠有訪問的權(quán)利，因此，使得防范更加困難。

Web的安全分為服務(wù)器安全和客戶端安全（瀏覽器），前者主要針對Web的構(gòu)建者，后者針對普通的用戶。本章將就這兩方面展開討論。

二、什么是HTTP

HTTP（Hypertext Transfer Protocol）超文本傳輸協(xié)議允許用戶從WWW(World Wide Web)以及其他分布式信息系統(tǒng)請求和接受超文本的內(nèi)容。它運行在TCP之上并用綁定服務(wù)器端口80，然后它還可以使用其他端口和協(xié)議來提供一個可靠的數(shù)據(jù)流。它是一個請求/響應(yīng)協(xié)議。為了獲得信息，一個瀏覽器客戶程序（如netscape）向一個Apache服務(wù)器建立一個TCP連接并請求一個資源（“GET”）。服務(wù)器檢查請求并根據(jù)服務(wù)器配置和包含的內(nèi)容進(jìn)行響應(yīng)。服務(wù)器也許發(fā)送一個超文本標(biāo)記語言（HTML）文件、文本、圖片、聲音、影像或一個java applet，它們可以在瀏覽器顯示出來。服務(wù)器也可以運行一個程序來響應(yīng)瀏覽器的請求（如通用網(wǎng)關(guān)接口或服務(wù)器的應(yīng)用程序接口）。

測試HTTP連接的一個簡易方法（同時也是一個潛在的安全漏洞）是telnet到一個Web服務(wù)器主機的端口80?？梢暂斎搿癎ET/”來瀏覽站點的基本HTML文檔（如index.html），如下所示（去掉了HTML內(nèi)容）：

$ telnet 80

Trying…

Connected to .

Escape character is ‘^]'

(在此敲入GET /) GET /

下面刷的出來一個html的文件，例如：

<html>

<head>

</head>

<frameset rows="128,327*" frameborder="YES" border="0" framespacing="0" cols="*

</frameset>

</body></noframes>

</html>

Connection closed by foreign host.

三、安全風(fēng)險的分類

Web安全風(fēng)險一般可以分為三類：

l 對Web服務(wù)器及其相連LAN的威脅

對Web客戶機的威脅

對服務(wù)器和客戶機之間的通信信道的威脅

1．服務(wù)器的風(fēng)險

通常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制，使得不明身份的人無法獲得非授權(quán)的服務(wù)但是Web服務(wù)器恰恰相反，它希望接受盡可能多的客戶，對客戶幾乎沒有任何限制和要求，好了，這樣，相對于其他網(wǎng)絡(luò)服務(wù)器，Web是最容易受到攻擊的。最常見的威脅是HTTP服務(wù)器軟件中的bug、錯誤的配置、不安全的CGI程序或者缺乏強大的機密功能等等。服務(wù)器通常受到的侵害有：修改和替換服務(wù)器提供的內(nèi)容；獲得對服務(wù)器訪問控制保護(hù)的保密文檔的訪問權(quán)；在服務(wù)器上執(zhí)行任意命令并破壞服務(wù)器的系統(tǒng)安全；檢查日志文件來危害用戶的隱私；進(jìn)行服務(wù)拒絕攻擊，使服務(wù)器或者網(wǎng)絡(luò)連接失敗。

上一篇：Apache rewrite重寫規(guī)則的常見應(yīng)用

下一篇：Apache1.3.22主要改進(jìn)及修正