2 5 應用層的安全威脅

應用層安全的解決目前往往依賴於網路層、作業系統等……由於應用系統多樣複雜，沒有特定的安全技術能夠完全解決一些特殊應用系統的安全問題。

但是對於一些通用的應用程式，如web server程式等，通過漏洞掃瞄，可以幫助檢查這些應用程式自身的安全漏洞和由於配置不當造成的安全漏洞。

應用層介紹

應用層是最難保護的一層，因為tcp/ip程式幾乎可以無限制地執行，實際上沒有辦法保護所有的應用層上的程式。但是，所有的應用層上的程式都有一些共性，需要知道tcp/ip主要是用於客戶/伺服器模式上的，應用層是這種使用的最好例子。

保護網路上的每個程式不太現實，但是只允許一些特定的程式通過網路進行通訊，還是乙個不錯的辦法。

簡單郵件傳輸協議（**tp）

**tp本身有很小的風險。黑客可能利用的是：

拒絕服務；

偽造e-mail資訊進行社會工程學欺騙；

傳送特洛伊木馬和病毒。

檔案傳輸協議（ftp）

連線匿名ftp也必須提供使用者名稱和密碼，通用的使用者名稱是anonymous，密碼可以是任意字元，但是習慣上使用自己的e-mail位址。

超文字傳輸協議（http）

超文字傳輸協議是internet上應用最為廣泛的通訊協議之一。它採用可靠的tcp連線，且不維護使用者連線狀態，是一種無狀態協議。通常的過程是：

1.瀏覽器與伺服器建立連線；

2.瀏覽器向伺服器請求文件；

3.伺服器響應瀏覽器的請求；

4.斷開連線。

遠端連線服務標準協議（telnet）

telnet用於遠端終端訪問。telnet是首先考慮有關安全的，因為它要求遠端使用者登入。但是，telnet使用明文傳送所有的使用者名稱和密碼，因此可以被會話劫持。所以，telnet使用前應考慮網路環境，不應該被用於公網。

可以使用secureshell（ssh）來代替telnet和unix下的r系列程式。ssh加密所有傳輸的資料，還允許通過公鑰加密機制來進行認證。

簡單網路管理協議（snmp）

snmp允許管理員檢查狀態，並修改snmp節點的配置。它有2個元件，管理者負責收集所有snmp節點發出的trap，並且直接從這些節點查詢資訊。snmp通過udp 161和162埠通訊。

snmp所提供的唯一認證就是community name（團體名稱）。如果管理者和節點有著相同的community name，那麼將允許所有snmp查詢。另乙個安全問題是，所有的資訊都是明文傳輸的。snmp不應用在公網上。

網域名稱系統（dns）

dns在解析dns請求時使用udp 53埠。一次區域傳輸是以下兩種情況完成的，在進行區域傳輸時使用tcp。

1.乙個客戶端利用nslookup命令向dns伺服器請求進行區域傳輸；

2.乙個從屬於明伺服器向主伺服器請求得到乙個區域檔案。

黑客可以通過攻擊dns伺服器得到它的區域檔案，從而得到這個區域中所有系統的ip位址和名字。