13518219792
web服務面臨的安全威脅:
創新互聯專注于淇濱企業網站建設,成都響應式網站建設公司,成都做商城網站。淇濱網站建設公司,為淇濱等地區提供建站服務。全流程按需制作網站,專業設計,全程項目跟蹤,創新互聯專業和態度為您提供的服務
1、安全信息被破譯:WEB服務器的安全信息如口令、密鑰等被破譯,導致攻擊者進入WEB服務器。
2、非法訪問:未授權者非法訪問了WEB上的文件。
3、交易信息被截獲:當用戶向服務器傳輸交易信息時被截獲。
4、軟件漏洞被攻擊者利用:系統中的軟件錯誤被攻擊者利用,使系統被破壞和損壞,甚至引起系統崩潰。
5、用CGI腳本編寫的程序或其他涉及遠程用戶從瀏覽器中輸入表格并進行像檢索之類在主機直接操作命令時,給WEB主機系統造成危險。
什么是 Web安全?
Web安全是計算機術語。隨著Web2.0、社交網絡等一系列新型的互聯網產品誕生問世,基于Web環境的互聯網應用越來越廣泛,企業信息化的過程中各種應用都架設在Web平臺上,Web業務的迅速發展也引起黑客們的窺探,接踵而至的就是Web安全威脅的凸顯。
黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。
Web安全的現狀及原因
目前,很多業務都依賴于互聯網,無論是網上銀行、網上購物、還是網絡 游戲 等,惡意攻擊者們出于各種不良目的,對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是如此,Web業務平臺最容易遭受攻擊。
而針對Web服務器的攻擊也是五花八門,常見的有掛馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
一方面,由于TCP/IP的設計是沒有考慮安全問題的,網絡上傳輸的數據是沒有任何安全防護。攻擊者們可利用系統漏洞造成系統進程緩沖區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。
而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區溢出、SQL注入等等流行的應用層攻擊,這些都屬于在軟件研發過程中疏忽了對安全的考慮所致。
另一方面,個人用戶由于好奇心,被攻擊者利用木馬或病毒程序進行攻擊,攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費軟件等文件中,然后將這些文件置于某些網站當中,再引誘用戶去單擊或下載運行,或通過電子郵件附件和QQ、MSN等即時聊天軟件,將這些捆綁了木馬或病毒的文件發送給用戶,讓用戶打開或運行這些文件。
Web安全的三個細分
Web安全主要分為:1、保護服務器及其數據的安全。2、保護服務器和用戶之間傳遞的信息的安全。3、保護Web應用客戶端及其環境安全這三個方面。
Web應用防火墻
Web應用安全問題本質上源于軟件質量問題。但Web應用相較傳統的軟件,具有其獨特性。Web應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;
需要頻繁地變更以滿足業務目標,從而使得很難維持有序的開發周期;需要全面考慮客戶端與服務端的復雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單,缺乏經驗的開發者也可以勝任。
Web應用安全,理想情況下應該在軟件開發生命周期遵循安全編碼原則,并在各階段采取相應的安全措施。
然而,多數網站的實際情況是:大量早期開發的Web應用,由于 歷史 原因,都存在不同程度的安全問題。對于這些已上線、正提供生產的Web應用,由于其定制化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改周期。
這種現狀,專業的Web安全防護工具是一種合理的選擇。WEB應用防火墻(以下簡稱WAF)正是這類專業工具,提供了一種安全運維控制手段:基于對HTTP/HTTPS流量的雙向分析,為Web應用提供實時的防護。
Web應用漏洞的防御實現
對于常見的Web應用漏洞,應該從3個方面入手進行防御:
1、對 Web應用開發者而言
大部分Web應用常見漏洞都是在Web應用開發中,由于開發者沒有對用戶輸入的參數進行檢測或者檢測不嚴格造成的。所以,Web應用開發者應該樹立很強的安全意識,開發中編寫安全代碼;
對用戶提交的URL、查詢關鍵字、HTTP頭、POST數據等進行嚴格的檢測和限制,只接受一定長度范圍內、采用適當格式及編碼的字符,阻塞、過濾或者忽略其它的任何字符。通過編寫安全的Web應用代碼,可以消除絕大部分的Web應用安全問題。
2、對Web網站管理員而言
作為負責網站日常維護管理工作Web管理員,應該及時跟蹤并安裝最新的、支撐Web網站運行的各種軟件的安全補丁,確保攻擊者無法通過軟件漏洞對網站進行攻擊。
除了軟件本身的漏洞外,Web服務器、數據庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟件配置進行仔細檢測,降低安全問題的出現可能。
此外,Web管理員還應該定期審計Web服務器日志,檢測是否存在異常訪問,及早發現潛在的安全問題。
3、使用網絡防攻擊設備
前兩種都是預防方式,相對來說很理想化。在現實中,Web應用系統的漏洞仍舊不可避免:部分Web網站已經存在大量的安全漏洞,而Web開發者和網站管理員并沒有意識到或發現這些安全漏洞。
由于Web應用是采用HTTP協議,普通的防火墻設備無法對Web類攻擊進行防御,因此需要使用入侵防御設備來實現安全防護。
Web服務器攻擊常利用Web服務器軟件和配置中的漏洞,web服務器安全也是我們現在很多人關注的一點,那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料,供你參考。
web服務器安全設置一、IIS的相關設置
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制, 帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。
對于數據庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄,調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統信息,防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。
方法
用戶從腳本提升權限:
web服務器安全設置二、ASP的安全設置
設置過權限和服務之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的權限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務器上使用,只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限,不需要的不給權限。重新啟動服務器即可生效。
對于這樣的設置結合上面的權限設置,你會發現海陽木馬已經在這里失去了作用!
web服務器安全設置三、PHP的安全設置
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
web服務器安全設置四、MySQL安全設置
如果服務器上啟用MySQL數據庫,MySQL數據庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,并限定到特定的數據庫,尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權限,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截“FTP bounce”攻擊和FXP,對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統中新建一個用戶,設置一個復雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限,為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些權限的。
web服務器安全設置五、數據庫服務器的安全設置
對于專用的MSSQL數據庫服務器,按照上文所講的設置TCP/IP篩選和IP策略,對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼,使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業管理 器中部分功能不能使用),這些過程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統存儲過程,如果認為還有威脅,當然要小心drop這些過程,可以在測試機器上測試,保證正常的系統能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限,對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的,千萬不要這么做,否則你只能重裝MSSQL了。
一、在代碼編寫時就要進行漏洞測試。
二、對Web服務器進行持續的監控。
三、設置蜜罐,將攻擊者引向錯誤的方向。
四、專人對Web服務器的安全性進行測試。
在Web服務器的攻防戰上,這一個原則也適用。筆者建議,如果企業對于Web服務的安全比較高,如網站服務器上有電子商務交易平臺,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對服務器進行安全性的測試。這個專業團隊主要執行如下幾個任務。
一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現在比較流行的攻擊手段,對自己的Web服務器發動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最后沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。
二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對服務器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對于這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
