网站首页 | 公司简介 | 业务范围 | 案例展示 | 新闻资讯 | 留言反馈 | 联系我们 | 程序出售
 
 
★新闻资讯★
技术支持
行业动态
休闲娱乐
免费下载
帮助中心
解决方案
本站公告
★服务热线★
029-86122132
013572147337
013991215365
4008-168-029
★在线咨询★
【广告设计】
【网站建设】
【网站咨询】
【推广咨询】
【优化咨询】
【维护咨询】
【安全咨询】
【空间咨询】
【域名咨询】
【技术支持】
 
 >> 新闻资讯 >> 查看新闻信息  
网站设计之深入剖析(四)由重庆网站建设公司独家提供
【信息涉及侵权、违法、错误,请来电 029-86122132 013572147337 013991215365 4008-168-029】
 
    世界上很多公司都开发了提供Web服务的平台软件,知名的有Microsoft IIS、IBM Web Sphere 、Oracle IAS、Apache和Tomcat,本文主要介绍常用的IIS和Apache的相关安全问题。  

    IIS是 Internet Information Server的缩写,它是微软公司专业研究主推的Web服务平台,最新的版本是VISTA里面包含的IIS 7.0。IIS的安装,管理和配置都相当简单,这是因为IIS与Windows NT Server网络操作系统紧密的集成在一起,另外,IIS还使用与Windows NT Server相同的SAM(Security Accounts Manager,安全性账号管理器),对于管理员来说,IIS使用诸如Performance Monitor和SNMP(Simple Network Management Protocol,简单网络管理协议)之类的NT已有管理工具。IIS支持ISAPI,建站服务使用ISAPI可以扩展服务器功能,可以实现Win2003下支持PHP,CGI,JSP程序。  

    下面主要分析以Win2003为基础的IIS6的安全配置。  
    IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、 MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。  
    默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下网站建设组件可以根据自己的需要决定是否删除。  

    Internet服务管理器:这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。  

    SMTP Service和NNTP Service:如果不打算网页设计使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。  

    样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。  

    除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是: 为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:  

    静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。  

    ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。  

    EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。  

    IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、. shtml、.stm、.printer等,通过这些网站源码程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选 “检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。 网站建设  
    作为最流行的Web服务平台,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和漏洞。  

    Apache 的安全模块 mod_access模块能够根据访问者的IP地址(或域名,主机名等)来控制对Apache服务器的访问,称之为基于主机的访问控制。mod_auth 模块用来控制用户和组的认证授权(Authentication)。用户名和口令存于纯文本文件中。mod_auth_db和 mod_auth_dbm模块则分别将用户信息(如名称、组属和口令等)存于Berkeley-DB及DBM型的小型数据库中,便于管理及提高应用效率。mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证,但它相应的需要客户端的支持。mod_auth_anon模块的功能和 网站制作mod_auth的功能类似,建站教程只是它允许匿名登录,将用户输入的E-mail地址作为口令。mod_ssl模块是安全套接字层协议SSL在Apache下的实现,为Internet上安全交易提供服务,如电子商务。通过对通讯字节流的加密来防止敏感信息的泄漏。Apache的这种支持是建立在对Apache的API扩展来实现的,相当于一个外部模块,通过与第三方程序的结合提供安全的网上交易支持。  

    使用HTTP协议进行的拒绝服务攻击(denial of service):这种攻击方法的攻击者会通过某些手段使服务器拒绝对正常HTTP请求做出的应答。主要是使Apache对系统资源(CPU时间和内存)需求剧增,最终造成Apache系统变慢甚至完全瘫痪。  

    缓冲区溢出:该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。  

    攻击者获得root权限:该安全缺陷主要是因为Apache服务器一般以root权限运行,攻击者会通过它获得root权限,进而控制整个Apache系统。  
    Apache Web服务器主要有三个配置文件,均位于/usr/local/apache/conf目录下。这三个文件是:httpd.conf主配置文件,srm.conf添加资源文件,access.conf设置文件的访问权限。Apache的一些功能实现和安全配置主要是在httpd.conf文件中进行。  


 
 
信息分类:技术支持  信息来源:重庆网站建设 重庆软件公司 重庆伍佰网络有限公司  添加时间:2011-7-12 16:03:45  浏览次数:
上一组:更多有趣的手机模板设计由重庆网站建设公司独家提供 下一组:网站设计之深入剖析(三)由重庆网站建设公司独家提供
版权所有© 西安四方科技有限公司 违者必究  客服热线:029-86122132 013572147337 013991215365 4008-168-029  传真号码:029-86122132
联系地址:陕西省西安市未央区龙翔御苑50101室 710016  E-mail:500web@21cn.com  中国工业和信息化部ICP备案号:陕ICP备09005782号
本站由四方科技(网站建设 软件开发 网站推广 域名注册 网站空间 广告与多媒体制作)提供技术支持