WEB服務的安全漏洞

2021-05-23 23:34:39 字數 2775 閱讀 6162

隨著網路的飛速發展,如今很多系統都是基於

b/s的模式提供

web服務,

web系統很方便但也很危險,傳輸的資料很容易被截獲,從而給使用者造成損失,如果部署了

ssl數字證書的話,在很大程度上能保證資料的安全,尤其是在傳輸過程中。

ssl(secure sockets layer

安全套接層

)其繼任者傳輸層安全(

transport layer security

,tls

)是為網路通訊提供安全及資料完整性的一種安全協議。

tls與

ssl在傳輸層對網路連線進行加密。為

netscape

所研發,用以保障在

internet

上資料傳輸之安全,利用協商金鑰和資料加密

(encryption)

技術,可確保資料在網路上之傳輸過程中不會被擷取及竊聽。目前安全要求採用

128位或

128位以上的加密套件,以前的

40位或

56位的加密套件很不安全,但是還有很多服務啟用,強烈建議大家關閉掉。

ssl協議主要提供如下三個方面的服務:

1.認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器,防止釣魚攻擊; 2

.連線過程協商金鑰加密資料以防止資料中途被竊取; 3

.維護資料的完整性,確保資料在傳輸過程中不被改變。

早在幾年前,國外發達國家對

pki和

ssl就「炒」得很火,應該不叫「炒」,因為國外對安全這塊確實很重視,據統計美國幾乎每家**都有部署

ssl證書,就連上網也採用實名制;國內曾經也大力提倡

pki和

ssl,可是沒過多久就銷聲匿跡了,直到這幾年隨著網行和電子商務的興起,才陸續將

ssl重新推向舞台,經過我最近一段時間的測試發現國內

95%以上的**都沒有部署

ssl,就算已經部署了

ssl證書的服務,也存在很多問題;鑑於國內安全意識薄弱的現狀,在公司的大力支援下我研發出乙個「

ssl安全檢測

工具」能夠對已部署了

ssl證書的服務進行安全檢測,讓管理員能夠發現伺服器潛在的漏洞並有針對性的修補漏洞,保證服務安全。

部署ssl

數字證書能使服務變得安全,但若不懂正確部署服務,就算部署了

ssl證書也不能保證服務的安全;關於

web服務安全分析主要有如下幾個方面:

1.ssl

協議本身的安全

ssl協議已是國際標準,也有乙個發展過程,在其自身發展的過程中暴露出一些不安因素,主要有兩反面:

(1)ssl v2.0

是個不安全的協議,使用者部署服務時必須關閉;

(2)ssl

遺留的不安全的重新協商機制,必須關閉,並建議開啟安全的重新協商機制,防止中間人攻擊

(mitm)

;兩名美國安全專家

marsh ray

與steve dispensa

於2023年9

月份公開了他們發現的

tls/ssl

協議的安全漏洞,攻擊者可以利用這種漏洞劫持使用者的瀏覽器,並偽裝成合法使用者。由於

tls協議中的金鑰再協商功能使得驗證伺服器及客戶機身份的一連串動作中存在前後不連貫的問題,因此便給了攻擊者可乘之機。不僅如此,這種漏洞還給攻擊者發起

攻擊提供了便利,

協議是http

與tls

協議的集合體。發現這一漏洞之後,

ray和

dispensa

很快將其報告給了網路安全產業聯盟(

icasi)

,該聯盟由微軟、諾基亞、思科、

ibm、英特爾和

juniper

創立。同時他們還將其報告給了網際網路工程任務組(

ietf

)以及幾家開源的

ssl專案組織。9月

29日,這些團體經過討論後決定推出一項名為

mogul

的計畫,該計畫將負責修補這個漏洞,計畫的首要任務是盡快推出新的協議擴充套件版,以修復該漏洞。

2.加密套件的安全性

破解40

位des

演算法只需幾秒鐘,而

50 位

des

演算法也只需幾天時間,但破解

128

位3des

演算法則需要

0.25

個10

的21

次方年才能破解,所以,

web伺服器軟體必須只能支援

128位以上的加密套件,而關閉不安全的

40位和

56位加密套件。

3.根證書安全性

根證書的安全性主要有兩點:

(1).

根證書通常是預埋在作業系統中的,當使用者用瀏覽器訪問服務時,瀏覽器會自動驗證服務的身份,對使用者是透明的,驗證過程不需使用者做任何操作;倘若伺服器部署的是自簽的

ssl證書,那麼在認證多程中會提示非法警告,作為自簽證書不存在第三方的驗證,身份無法確定,如果使用者選擇繼續訪問很容易受釣魚中間攻擊,這樣做是很危險的,根本無法保證服務安全,建議購買系統可信任的

ssl數字證書;

(2).

隨著計算機的發展破解技術也在提高,以前的根證書(

1024

位)金鑰強度逐漸變得不安全了,現在絕大多數證書的頂級根都是

2048

位或大於

2048

位,建議購買

2048

位以上的根***法的數字證書。

(鄙人文筆差,平時很少寫文章,請大家多多指教)

Web安全漏洞

web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...

常見Web安全漏洞

不同許可權賬戶之間的存在越權訪問 檢測防範 1伺服器端必須對每個頁面鏈結進行許可權判斷。2使用者登陸後,伺服器端不應再以客戶端提交的使用者身份資訊為依據,而應以會話中服務端儲存的已登陸的使用者身份資訊為準。3頁面提交的資源標誌與已登陸的使用者身份進行匹配比對,然後判斷其對當前鏈結是否有許可權。4必須...

Web安全漏洞 檔案上傳(fileupload)

1.原理 上傳的檔案能夠被web容器解釋執行,所以檔案上傳後所在的目錄要是web容器所覆蓋到的路徑。使用者能夠從web上訪問這個檔案。使用者上傳的檔案如果被安全檢查 格式化 壓縮等功能改變了內容,則可能導致攻擊不成功 檔案包含漏洞 file include 有次面試問我檔案包含,我回答的檔案上傳 嚴...