在计算机网络日益普及的今天,计算机安全不仅要求防控计算机病毒,还要求提高系统抵御黑客非法入侵的能力,提高远程数据传输的保密性,避免传输过程中被非法窃取。
本文只讨论构建Web服务器时可能出现的一些情况,希望引起注意。
一.安全漏洞
Web服务器上的漏洞可以从以下几个方面考虑:
1.你不让人们在网络服务器上访问的秘密文件、目录或重要数据。
2.当从远程用户向服务器发送信息时,尤其是发送类似信用卡的东西时,会被犯罪分子非法拦截。
3.3 .有一些漏洞。Web服务器本身,这使得一些人能够入侵主机系统,破坏一些重要的数据,甚至造成系统瘫痪。
4.4中的漏洞。CGI安全性包括:
(1)有意无意的遗漏主机系统的bug,为非法黑客创造了条件。
(2)当用CGI脚本编写的程序涉及远程用户从浏览器输入表格并搜索索引,或直接在主机上操作命令(如form-mail)时,它可能对Web主机系统造成危险。
5.有一些从网上下载的简单的Web服务器,如果不太考虑一些安全因素,是不能作为商业应用的。
因此,无论是配置服务器还是编写CGI程序,都要注意系统的安全性。努力堵塞任何现存的漏洞,创造一个安全的环境。
2.提高系统安全性和稳定性
Web服务器安全预防措施:
1.限制在Web服务器上打开帐户,并定期删除一些进程中断的用户。
2.对于在Web服务器上开设的帐户,要求密码长度和定期更改以防止被盗。
3.尽量把ftp、MAIL等服务器从其中分离出来,去掉FTP、sendmail、tftp、NIS、NFS、finger、netstat等一些无关的应用。
4.在Web服务器上去掉一些绝对不用的解释器比如SHELL,也就是在你的CGI程序中不使用PERL的时候,尽量从系统解释器中删除PERL。
5.定期检查服务器中的日志文件,并分析所有可疑事件。当errorlog中出现rm、login、/bin/perl、/bin/sh等记录时,你的服务器可能已经被一些非法用户入侵了。
6.在Web服务器上设置系统文件的权限和属性,为可访问的文档分配一个公共组(如WWW ),并且只为其分配只读权限。所有的HTML文件都属于WWW组,WWW组由网站管理员管理。
网站的配置文件只有向网站管理员写入的权限。
7.当一些Web服务器在同一个目录下引用Web的文档目录和FTP目录时,要注意不要在同一个目录下指定FTP目录和CGI-BIN。这是为了防止一些用户通过FTP上传一些程序如PERL或SH,
并且使用Web的CGI-BIN来执行,会造成不好的后果。
8.通过限制access.conf用户的IP或DNS,例如添加:
《Directory /full/path/to/directory》
《Limit GET POST》
Orders failed each other.
general denial
Starting from 168.160.142 is allowed. abc.net.cn
《/Limit》
《/Directory》
这样,只有域名为abc.net.cn或IP地址属于168.160.142的客户才能访问Web服务器。
对于CERN或W3C服务器,您可以在httpd.conf中添加以下内容:
Protect local users {
GetMask @(*.capricorn.com,*.zoo.org,18.157.0.5)
}
Protect/Relative/Path/To/Directory/* Local Users
9. HyperText Transfer Protocol daemon under the window.
(1) Netscape communication server for NT
PERL解释器的漏洞:
在Netscape Communications Server中无法识别CGI-BIN下的扩展及其应用程序关系。例如,在。pl文件是由PERL的代码程序自动调用的解释文件。
即使是现在,perl.exe文件也只能存放在CGI-BIN目录下。执行如:/cgi-bin/perl.exe?my_script.pl .但是这给了任何人执行PERL的可能性。
当有人在自己浏览器的网址上加了:/cgi-bin/perl.exe这样的东西?-e unlink *,它可能会导致删除服务器当前目录中的文件的危险。但是,
其他的,比如O'Reilly网站或者Purveyor,就没有这个漏洞。
CGI执行批处理文件的漏洞:
文件test.bat的内容如下:
@ Turn off echo
Echo Content Type: Text/Plain Text
echo
Echo hello world!
如果客户端浏览器的网址是:/cgi-bin/test.bat?dir,执行命令解释器来完成DIR列表。这使访问者有可能执行其他命令。
(2) O'Reilly web server for Windows NT/95.
WebSite1.1B之前的批处理文件的使用与Netscape有相同的漏洞,但新版本关闭了。CGI里的bat。支持PERL,新版本使用VB和C作为CGI开发工具。
(3) Microsoft's IIS network server
1996年3月5日之前,IIS在NT下有一个严重的BUG,可以随意使用command命令。不过,此后该漏洞已被修复。您可以检查可执行文件的创建日期。IIS3.0还是有一些安全漏洞的。
主要是CGI-BIN下的答辩权。另外,很多Web服务器本身都有一些安全漏洞,在版本升级过程中不断更新,这里就不一一列举了。
三。从CGI编程的角度考虑安全性
1.使用编译语言比解释语言更安全,CGI程序要放在独立于HTML存储目录的CGI-BIN下,以防一些非法访问者从浏览器获取解释语言的原代码后寻找漏洞。
2.在用C来编写CGI程序时应尽量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之类命令。
在由用户填写的form还回CGI时,不要直接调用system()之类函数。
另外,对于数据的加密与传输,目前有SSL、SHTTP、SHEN等协议供大家研究。
四. 防火墙(Firewall)
1.防火墙的概念
防火墙(Firewall)是指一个由软件或由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。
2.防火墙的措施
(1)代理(Proxy)主机
“内部网络--代理网关(Proxy Gateway)--Internet”
这种方式是内部网络与Internet不直接通讯。就是内部网络计算机用户与代理网关采用一种通讯方式,即提供内部网络协议(Netbios、TCP/IP 等),
而网关与Internet之间采取的是标准TCP/IP网络通讯协议。这样使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理网关访问Internet,
这样容易在代理服务器上对内部网络计算机访问外界计算机进行限制。另外,由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有,代理服务器的网关可对数据封包进行验证和对密码进行确认等安全管制。
这样,能较好地控制管理两端的用户,起到防火墙作用。
因为这种防火墙措施是采用透过代理服务器进行,在联机用户多时,效率必然受到影响,代理服务器负担很重,所以许多访问Internet的客户软件在内部网络计算机中可能无法正常访问Internet。
(2)路由器加过滤器完成
“内部网络--过滤器(Filter)--路由器(Router)--Internet”
这种结构由路由器和过滤器共同完成从IP地址或域名上对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问Internet。路由器仅对主机上特定的PORT上的数据通讯加以路由,
而过滤器则执行筛选、过滤、验证及其安全监控,这样可以很大程度上隔断内外网络间的不正常的访问登录。
