文章內(nèi)容

輕松打造WEB服務(wù)器安全策略

發(fā)布時間: 2012/9/9 18:40:37

從實(shí)際應(yīng)用的角度，幫你制定WEB服務(wù)器安全策略。

　　一、轉(zhuǎn)換角色，把自己當(dāng)作可能的攻擊者

　　大部分時候，我們?nèi)糁皇钦驹赪EB管理員的角度上考慮問題，可能就發(fā)現(xiàn)不了Web服務(wù)器的漏洞。相反，我們此時若能夠換個角度，把自己當(dāng)作可能的攻擊者，從他們的角色出發(fā)，想想他們可能會利用那些手段、哪些Web服務(wù)器的漏洞進(jìn)行攻擊，或許，我們就可以發(fā)現(xiàn)Web服務(wù)器可能存在的安全漏洞，從而早先一步，修補(bǔ)安全漏洞，防止被木馬或者病毒攻擊。

　　從公司外面訪問自己的Web服務(wù)器，進(jìn)行完正的檢測，然后模擬攻擊自己的網(wǎng)站，看看，會有什么樣的結(jié)果。這對于WEB的安全性來說，可能是一種很好的方法。如我們可以假當(dāng)攻擊者，利用掃描工具，對Web服務(wù)器進(jìn)行掃描，看看有否存在可以被攻擊的服務(wù)。有些東西我們平時可能不會引起我們重視，但是，利用黑客常用的工具進(jìn)行掃描，就會發(fā)現(xiàn)一些可能會被他們利用的服務(wù)或者漏洞。如在服務(wù)器安裝的時候，操作系統(tǒng)會默認(rèn)的安裝并啟動一些不需要的服務(wù);或者在服務(wù)器配置的時候，需要啟動一些服務(wù)，但是事后沒有及時的關(guān)閉，從而給了不法攻擊者一個攻擊的機(jī)會。最常見的如SNMP服務(wù)，又稱簡單網(wǎng)絡(luò)管理協(xié)議。這個服務(wù)在系統(tǒng)安裝完畢后，默認(rèn)情況下是開啟的。但是，這個服務(wù)可以為攻擊者提供服務(wù)器系統(tǒng)的詳細(xì)信息，如Web服務(wù)器是采用了什么操作系統(tǒng)，在服務(wù)器上開啟了什么服務(wù)與對應(yīng)的端口等等寶貴的信息。攻擊者只有了解這些最基本的信息之后，才能夠開展攻擊。

　　我們安全管理人員，在平時的時候可能不會發(fā)現(xiàn)這個問題，但是，若能夠利用黑客的掃描工具一掃描，就能夠發(fā)現(xiàn)問題的所在。故筆者認(rèn)為在必要的時候，需要換個角度，從攻擊的角色出發(fā)，考慮他們會采用什么樣的攻擊方法。如此的話，我們才可以避免“當(dāng)局者迷”的錯誤，保障Web服務(wù)器的安全。

　  二、合理的權(quán)限管理

　　有時候，在一臺服務(wù)器上，不僅運(yùn)行了Web服務(wù)器，而且還會運(yùn)行其他的諸如FTP服務(wù)器之類的網(wǎng)絡(luò)服務(wù)。在同一臺服務(wù)器上應(yīng)用多種網(wǎng)絡(luò)服務(wù)的話，很可能造成服務(wù)之間的相互感染。也就是說，攻擊者只要攻擊一種服務(wù)，就可以利用相關(guān)的技術(shù)，攻陷另一種應(yīng)用。因?yàn)楣粽咧枰テ破渲幸环N服務(wù)，就可以利用這個服務(wù)平臺，從企業(yè)內(nèi)部攻擊其他服務(wù)。而一般來說，從企業(yè)內(nèi)容進(jìn)行攻擊，要比企業(yè)外部進(jìn)行攻擊方便的多。

　　那或許有人會說，那不同服務(wù)采用不同服務(wù)器就可以了。其實(shí)，這對于企業(yè)來說，可能是種浪費(fèi)。因?yàn)閺男阅苌现v，現(xiàn)在的服務(wù)器上同時部署WEB服務(wù)與FTP服務(wù)的話，是完全可行的，性能不會受到影響。為此，企業(yè)從成本考慮，會采取一個服務(wù)器。而現(xiàn)在給我們安全管理員出了一個難題，就是在兩種、甚至兩種以上的服務(wù)同時部署在一臺服務(wù)器上，如何保障他們的安全，防止他們彼此相互之間感染呢?

　　筆者現(xiàn)在就遇到這個問題。筆者現(xiàn)在的Web服務(wù)器上運(yùn)行著三種服務(wù)。一個是傳統(tǒng)等WEB服務(wù);二是FTP服務(wù);三是OA(辦公自動化)服務(wù)，因?yàn)樵摲⻊?wù)是WEB模式的，互聯(lián)網(wǎng)上也可以直接訪問OA服務(wù)器，所以也就把他部署在這臺服務(wù)器上。由于這臺服務(wù)器的配置還是比較高的，所以，運(yùn)行這三個服務(wù)來說，沒有多少的困難，性能不會有所影響�，F(xiàn)在的問題是，如號來保障他們的安全，F(xiàn)TP服務(wù)器、OA服務(wù)器與Web服務(wù)器之間安全上不會相互影響呢?

　　我現(xiàn)在采用的是Windows2003服務(wù)器，為了實(shí)現(xiàn)這個安全需求，把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來說，NTFS分區(qū)比FAT分區(qū)安全性要高的多。利用NTFS分區(qū)自帶的功能，合理為他們分配相關(guān)的權(quán)限。如為這個三個服務(wù)器配置不同的管理員帳戶，而不同的帳戶又只能對特定的分區(qū)與目錄進(jìn)行訪問。如此的話，即使某個管理員帳戶泄露，則他們也只能夠訪問某個服務(wù)的存儲空間，而不能訪問其他服務(wù)的。如把WEB服務(wù)裝載分區(qū)D，而把FTP服務(wù)放在分區(qū)E。若FTP的帳戶泄露，被攻擊利用;但是，因?yàn)镕TP帳戶沒有對分區(qū)D具有讀寫的權(quán)利，所以，其不會對Web服務(wù)器上的內(nèi)容進(jìn)行任何的讀寫操作。這就可以保障，其即時攻陷FTP服務(wù)器后，也不會對Web服務(wù)器產(chǎn)生不良的影響。

　　雖然說微軟的操作系統(tǒng)價格昂貴，而安全漏洞又比較多，但是，其NTFS分區(qū)上的成就表現(xiàn)還是不差的。在NTFS分區(qū)上，可以實(shí)現(xiàn)很大程度的安全管理，保障相關(guān)服務(wù)于數(shù)據(jù)的安全性。所以最后還是采用了微軟的2003操作系統(tǒng)作為服務(wù)器系統(tǒng)，而沒有采用Linux系統(tǒng)。

    三、腳本安全管理

　　根據(jù)以往經(jīng)驗(yàn)，其實(shí)很多Web服務(wù)器因?yàn)楸还舳c瘓，都是由于不良的腳本所造成的。特別是，攻擊者非常喜歡利用CGI程序或者PHP腳本，利用他們的腳本或者程序漏洞，進(jìn)行攻擊。

　　如我們的網(wǎng)站就遇到個幾次攻擊，他們利用CGI程序的漏洞，讓外部攻擊者向Web服務(wù)器傳遞了一些不可靠的參數(shù)。一般來說，WEB應(yīng)用需要傳遞一些必要的參數(shù)，才能夠正常訪問。而這個參數(shù)又可以分為兩類，一個是可值得信任的參數(shù)，另外一類是不值得信任的參數(shù)。如企業(yè)可能是自己管理Web服務(wù)器，而不是托管。他們就把服務(wù)器放置在企業(yè)的防火墻內(nèi)部，以提高Web服務(wù)器的安全性。所以一般來說，來自于企業(yè)防火墻內(nèi)部的參數(shù)都是可靠的，值得信任的;而來自于企業(yè)外部的參數(shù)，都是不值得信任的。但是，也不是說不值得信任的參數(shù)或者說，來自于防火墻外部的參數(shù)Web服務(wù)器都不采用。而是說，在Web服務(wù)器設(shè)計(jì)的時候，需要注意，采用這些不值得信任的參數(shù)的時候，需要進(jìn)行檢查，看其是否合法;而不能向來自于企業(yè)內(nèi)部的參數(shù)那樣，不管三七二十一，都照收不誤。這明顯會對Web服務(wù)器的安全帶來威脅。如有時會，攻擊者利用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數(shù)。

　　所以，在CGI程序編寫或者PHP腳本編輯的時候，我們要注意，一定不能讓其隨便接受陌生人的參數(shù)，不要隨便跟陌生人打交道。在接受參數(shù)之前，一定要先檢驗(yàn)提供參數(shù)的人或者參數(shù)本身的合法性。在程序或者腳本編寫的時候，可以預(yù)先加入一些判斷條件。當(dāng)服務(wù)期認(rèn)為若提供的參數(shù)不合法的時候，及時通知管理員。這也可以幫助我們，盡早的發(fā)現(xiàn)可能存在的攻擊者，并采取相應(yīng)的措施。

　  對于腳本的安全性來說，要注意以下問題：

　　1、在腳本或者程序編寫的時候，不應(yīng)該把任何不信任的參數(shù)直接保存為會話變量。因?yàn)楦鶕?jù)WEB應(yīng)用的設(shè)計(jì)原理，會話變量只保存信任變量。也就是說，會話變量中的值，WEB服務(wù)都認(rèn)為其是值得信任的，會不加思索的采用。一般的設(shè)計(jì)思路是，先設(shè)置一個臨時變量進(jìn)行存儲，然后編寫一個檢驗(yàn)其合法性的過程或者函數(shù)，來驗(yàn)證其合法性。只有通過驗(yàn)證的時候，這個值才能夠被傳給會話變量。根據(jù)筆者的經(jīng)驗(yàn)，要是沒有親身經(jīng)歷過慘痛教訓(xùn)的WEB管理員，可能對此不屑一顧。但是，那些有過這方面教訓(xùn)的人，則會非�？粗剡@個合法性的檢驗(yàn)過程。畢竟是吃一塹長一智，所以新手還是需要多聽聽過來人的建議，不會吃虧的。

　　2、在沒有充分必要的時候，不要采用腳本，盡量使得網(wǎng)頁的簡單化。其實(shí)，企業(yè)的網(wǎng)站跟個人網(wǎng)站有個很大的不同，企業(yè)的網(wǎng)站只要樸素就好，不需要過多的渲染。一方面，過度渲染的網(wǎng)站會降低用戶網(wǎng)站訪問的速度;另一方面，這也會降低網(wǎng)絡(luò)的安全性能。故，在沒有充分必要的情況下，不要共腳本或者程序在渲染網(wǎng)站的華而不實(shí)的功能。

　　3、對腳本或者程序的執(zhí)行情況要進(jìn)行持續(xù)的跟蹤。在萬不得已網(wǎng)站采用了程序或者腳本的時候，則需要定時不定時的對這些腳本或者程序的運(yùn)行情況進(jìn)行稽核，看看其有沒有被非法利用的嫌疑。
本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 成功實(shí)施虛擬化七個易誤導(dǎo)的觀點(diǎn)
下一篇 >> 互聯(lián)網(wǎng)應(yīng)用發(fā)展?fàn)顩r1

无码视频在线观看,99人妻,国产午夜视频,久久久久国产一级毛片高清版新婚

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

輕松打造WEB服務(wù)器安全策略

同類文章

億恩公告

在線客服