今天我们讲一下应用服务的安全性。
应用服务安全,顾名思义,就是指应用服务也就是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。它是网络安全的重要组成部分。(网络安全包括操作系统安全、应用服务安全、网络设备安全、网络传输安全等)网络应用服务包括Web服务、FTP服务、DNS服务、Mail服务、Data服务、远程登录服务及其他服务。这个篇幅比较大,所以我们不能像“网络侦察技术分析”(
http://bbs.cnfan.net/thread-11095-1-1.html)那样大篇幅的运用图片了,大家跟我一起回到文字时代吧。在这里,我们也是大概的做个介绍,具体的安全操作大家查阅更为详细的安全操作指南。
NO.1 Web服务安全。
Web服务包括三点:
1、静态脚本服务
2、动态脚本服务(脚本很可能就成为获得信息的非正当的服务脚本,80%以上的网站入侵事件都是由脚本安全造成的)
3、Web Service(微软提出三层应用的关键技术,是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件(中间件))
Web服务分为C/S和B/S两类:client/server结构(属于瘦客户类型)、Browser/Server(客户为浏览器,服务器为Web Server),通常是多层(或三层)结构中的第一层。在Web应用中,Web Server后面常常与数据库打交道。大家平时所遇到的基本都是B/S结构,B/S之间的通讯协议是HTTP协议(位于TCP之上),默认的端口为80。主要功能就是客户发出对页面的请求,服务器送回这些页面,这极大的需要Web页面的表述和交互能力包括:各种标记、超链接、交互功能(表单、脚本)、交互能力的扩展(Java Applet, ActiveX等)。
Web服务的安全性分两点:
1、服务器端安全性:Web pages的访问控制机制、可用性(防止拒绝服务、抵御各种网络攻击)
2、客户端安全性:个人信息的保护、防止执行恶意代码
服务端安全:
服务端主要漏洞关系如图:
服务端面临的安全隐患是最大的:
1、最危险的当然是脚本安全,最显著的就是
ASP了,最常用也是最危险的动态脚本语言。其主要漏洞为:filesystemobject组件(FSO)篡改下载FAT分区上的任何文件的漏洞、输入标准的HTML语句或者JavaScript语句会改变输出结果、Access MDB数据库有可能被下载的漏洞及asp程序密码验证漏洞。
2、近几年在国内流行的是
SQL注入(国内专利,国外一般不搞这种没技术含量的东西,再次鄙视某些所谓黑客),它与脚本入侵是有明显的区别的,脚本入侵是针对网站的编码脚本语言,而SQL是针对数据库,通过提交特殊结构的语句,可以得到数据库类型、数据库名、数据表名及相应字段,如果用一些注入工具,事半功倍,不过即使用工具也要懂一些基本的原理,很多东西不是单靠工具就能做到的(比如提权)。
3、“
盗链”,其定义为:此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
4、
DoS/DDoS攻击。分两类,一类是带宽攻击,一类是流量攻击。最常见的是流量攻击,例如CC攻击就是利用一大堆代理服务器同时访问站点,使IIS服务器耗尽资源,特别是当大批的代理服务器同时访问带有数据库交互的动态ASP、PHP页面时,会在很短的时间内使服务器崩溃。
说到这里我补充一句,强烈建议大家使用VIF防火墙防御脚本、注入,盗链,CC攻击。它是我见过的最高效的保障Web服务安全的软件防火墙了。
为增强Web服务安全,可使用linux/unix服务器系统和APACHE,经常查看LINUX下APACHE服务,配置APACHE下的ACL。
另外Web服务的协议本身也具有安全性支持:
1、身份认证Basic Authentication
Digest Access Authentication(可抵御缺省口令攻击、重放攻击、中间人攻击,可自己添加服务器端的口令管理策略)
2、保密性TLS(基于PKI的认证,双向认证模式:单向TLS认证+客户提供名字/口令)
Microsoft passport
另外,有些应用使用SSL/TLS,我们可以为Web Service申请一个证书(https)。
Web Server往往是网络攻击的入口点,而我们为了提供Web Service,必须要开放端口和一些目录,还要接受各种正常的连接请求,因此防火墙对Web Server的保护是有限的,所以我们要及时打上Web Server软件厂商提供的补丁程序,特别是一些主流的服务软件,比如MS的IIS,要控制好控制目录和文件的权限。另外Web应用开发人员注意,在服务端的运行代码中,对于来自客户端的输入一定要进行验证还要防止缓冲区溢出。
客户端安全性涉:
Cookie的设置,保护用户的隐私
PKI设置,确定哪些是可信任的CA
对可执行代码的限制,包括JavaApplet,ActiveX control
[
本帖最后由 lycxy 于 2008-1-11 00:50 编辑 ]
