一、轉換角色,把自己當作可能的攻擊者
大部分時候,我們若只是站在web管理員的角度上考慮問題,可能就發現不了web伺服器的漏洞。如果我們若能夠換個角度,把自己當作可能的攻擊者,從他們的角色出發,想想他們可能會利用那些手段、哪些web伺服器的漏洞進行攻擊,或許,我們就可以發現web伺服器可能存在的安全漏洞,從而早先一步,修補安全漏洞,防止被木馬或者病毒攻擊。
從公司外面訪問自己的web伺服器,進行完正的檢測,然後模擬攻擊自己的**,看看,會有什麼樣的結果。這對於web的安全性來說,可能是一種很好的方法。如我們可以假當攻擊者,利用掃瞄工具,對web伺服器進行掃瞄,看看有否存在可以被攻擊的服務。有些東西我們平時可能不會引起我們重視,但是,利用黑客常用的工具進行掃瞄,就會發現一些可能會被他們利用的服務或者漏洞。如在伺服器安裝的時候,作業系統會預設的安裝並啟動一些不需要的服務;或者在伺服器配置的時候,需要啟動一些服務,但是事後沒有及時的關閉,從而給了不法攻擊者乙個攻擊的機會。最常見的如snmp服務,又稱簡單網路管理協議。這個服務在系統安裝完畢後,預設情況下是開啟的。但是,這個服務可以為攻擊者提供伺服器系統的詳細資訊,如web伺服器是採用了什麼作業系統,在伺服器上開啟了什麼服務與對應的埠等等寶貴的資訊。攻擊者只有了解這些最基本的資訊之後,才能夠開展攻擊。
有時候,在平時的時候可能不會發現這個問題,但是,若能夠利用黑客的掃瞄工具一掃瞄,就能夠發現問題的所在。故在必要的時候,需要換個角度,從攻擊的角色出發,考慮他們會採用什麼樣的攻擊方法。這樣,才能保障web伺服器的安全。
二、合理的許可權管理
有些伺服器上,不僅執行了web伺服器,而且還會執行其他的諸如ftp伺服器之類的網路服務。在同一臺伺服器上應用多種網路服務的話,很可能造成服務之間的相互感染。也就是說,攻擊者只要攻擊一種服務,就可以利用相關的技術,攻陷另一種應用。因為攻擊者之需要攻破其中一種服務,就可以利用這個服務平台,從企業內部攻擊其他服務。而一般來說,從企業內容進行攻擊,要比企業外部進行攻擊方便的多。
例如現在的web伺服器上執行著三種服務。乙個是傳統等web服務;二是ftp服務;三是oa(辦公自動化)服務,因為該服務是web模式的,網際網路上也可以直接訪問oa伺服器,所以也就把他部署在這台伺服器上。由於這台伺服器的配置還是比較高的,所以,執行這三個服務來說,沒有多少的困難,效能不會有所影響。那麼怎麼來保障他們的安全?ftp伺服器、oa伺服器與web伺服器之間安全上不會相互影響呢?
如果採用的是windows2003伺服器,首先,把伺服器中所有的硬碟都轉換為ntfs分割槽。因為,ntfs分割槽比fat分割槽安全性要高的多。再利用ntfs分割槽自帶的功能,合理為他們分配相關的許可權。為這個三個伺服器配置不同的管理員帳戶,而不同的帳戶又只能對特定的分割槽與目錄進行訪問。這樣,即使某個管理員帳戶洩露,他們也只能夠訪問某個服務的儲存空間,而不能訪問其他服務的。再把web服務裝載分割槽d,把ftp服務放在分割槽e。若ftp的帳戶洩露,被攻擊利用;但是,因為ftp帳戶沒有對分割槽d具有讀寫的權利,所以,其不會對web伺服器上的內容進行任何的讀寫操作。這就可以保障,其即時攻陷ftp伺服器後,也不會對web伺服器產生不良的影響。
三、指令碼安全管理
有乙個大家忽略的問題,其實很多web伺服器因為被攻擊而癱瘓,都是由於不良的指令碼所造成的。特別是,攻擊者非常喜歡利用cgi程式或者php指令碼,利用他們的指令碼或者程式漏洞,進行攻擊。
一般來說,web應用需要傳遞一些必要的引數,才能夠正常訪問。而這個引數又可以分為兩類,乙個是可值得信任的引數,另外一類是不值得信任的引數。如企業可能是自己管理web伺服器,而不是託管。他們就把伺服器放置在企業的防火牆內部,以提高web伺服器的安全性。所以一般來說,來自於企業防火牆內部的引數都是可靠的,值得信任的;而來自於企業外部的引數,都是不值得信任的。但是,也不是說不值得信任的引數或者說,來自於防火牆外部的引數web伺服器都不採用。而是說,在web伺服器設計的時候,需要注意,採用這些不值得信任的引數的時候,需要進行檢查,看其是否合法;而不能向來自於企業內部的引數那樣,不管是什麼,都照收不誤。這明顯會對web伺服器的安全帶來威脅。比如,攻擊者利用telnet連線到80埠,就可以向cgl指令碼傳遞不安全的引數。
所以,在cgi程式編寫或者php指令碼編輯的時候,我們要注意,一定不能讓其隨便接受陌生人的引數,不要隨便跟陌生人打交道。在接受引數之前,一定要先檢驗提供引數的人或者引數本身的合法性。在程式或者指令碼編寫的時候,可以預先加入一些判斷條件。當服務期認為若提供的引數不合法的時候,及時通知管理員。這也可以幫助我們,盡早的發現可能存在的攻擊者,並採取相應的措施。
對於指令碼的安全性來說,要注意以下問題:
1、在指令碼或者程式編寫的時候,不應該把任何不信任的引數直接儲存為會話變數。因為根據web應用的設計原理,會話變數只儲存信任變數。也就是說,會話變數中的值,web服務都認為其是值得信任的,會不加思索的採用。一般的設計思路是,先設定乙個臨時變數進行儲存,然後編寫乙個檢驗其合法性的過程或者函式,來驗證其合法性。只有通過驗證的時候,這個值才能夠被傳給會話變數。根據經驗,要是沒有親身經歷過慘痛教訓的web管理員,可能對此不屑一顧。但是,那些有過這方面教訓的人,則會非常看重這個合法性的檢驗過程。畢竟是吃一塹長一智,所以新手還是需要多聽聽過來人的建議,不會吃虧的。
2、在沒有充分必要的時候,不要採用指令碼,盡量使得網頁的簡單化。其實,企業的**跟個人**有個很大的不同,企業的**只要樸素就好,不需要過多的渲染。一方面,過度渲染的**會降低使用者**訪問的速度;另一方面,這也會降低網路的安全效能。故,在沒有充分必要的情況下,不要共指令碼或者程式在渲染**的華而不實的功能。
3、對指令碼或者程式的執**況要進行持續的跟蹤。在萬不得已**採用了程式或者指令碼的時候,則需要定時不定時的對這些指令碼或者程式的運**況進行審核,看看其有沒有被非法利用的嫌疑。
伺服器安全維護
電子商務的興起,使的很多中小企業都擁有了自己的伺服器。對內用來建立區域網,提公升辦公效率 對外建立 更為廣泛地宣傳企業產品和形象,爭取更多客源。但是作為網路的核心產品,伺服器技術相對複雜,尤其是在病毒肆虐的網路時代,安全問題顯得更加突出。現在就提供一些實際工作中總結出的經驗,希望能和大家共享,以確保...
伺服器安全維護
電子商務的興起,使的很多中小企業都擁有了自己的伺服器。對內用來建立區域網,提公升辦公效率 對外建立 更為廣泛地宣傳企業產品和形象,爭取更多客源。但是作為網路的核心產品,伺服器技術相對複雜,尤其是在病毒肆虐的網路時代,安全問題顯得更加突出。現在就提供一些實際工作中總結出的經驗,希望能和大家共享,以確保...
保護web伺服器的安全 保護Web伺服器
保護web伺服器的安全 存檔日期 2019年5月14日 首次發布 2009年4月21日 web伺服器是組織的眾多公共角色之一,因此很容易成為目標。作為一種公共資源,web伺服器對於某些人來說就像是 鯊魚餌 但這不必一定是 了解如何同時公開和安全地使用web伺服器。此內容不再被更新或維護。全文以pdf...