安全技术 应用服务安全性讲解（一）

今天我们讲一下应用服务的安全性。
   应用服务安全，顾名思义，就是指应用服务也就是主机上运行的网络应用服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响。它是网络安全的重要组成部分。（网络安全包括操作系统安全、应用服务安全、网络设备安全、网络传输安全等）网络应用服务包括Web服务、FTP服务、DNS服务、Mail服务、Data服务、远程登录服务及其他服务。这个篇幅比较大，所以我们不能像“网络侦察技术分析”（http://bbs.cnfan.net/thread-11095-1-1.html）那样大篇幅的运用图片了，大家跟我一起回到文字时代吧。在这里，我们也是大概的做个介绍，具体的安全操作大家查阅更为详细的安全操作指南。

NO.1 Web服务安全。
Web服务包括三点：
1、静态脚本服务
2、动态脚本服务（脚本很可能就成为获得信息的非正当的服务脚本，80%以上的网站入侵事件都是由脚本安全造成的）
3、Web Service（微软提出三层应用的关键技术，是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件（中间件））
Web服务分为C/S和B/S两类：client/server结构（属于瘦客户类型）、Browser/Server（客户为浏览器，服务器为Web Server），通常是多层(或三层)结构中的第一层。在Web应用中，Web Server后面常常与数据库打交道。大家平时所遇到的基本都是B/S结构，B/S之间的通讯协议是HTTP协议（位于TCP之上），默认的端口为80。主要功能就是客户发出对页面的请求，服务器送回这些页面，这极大的需要Web页面的表述和交互能力包括：各种标记、超链接、交互功能（表单、脚本）、交互能力的扩展（Java Applet, ActiveX等）。
Web服务的安全性分两点：
1、服务器端安全性：Web pages的访问控制机制、可用性（防止拒绝服务、抵御各种网络攻击）
2、客户端安全性：个人信息的保护、防止执行恶意代码

服务端安全：
服务端主要漏洞关系如图：
 

服务端面临的安全隐患是最大的：
1、最危险的当然是脚本安全，最显著的就是ASP了，最常用也是最危险的动态脚本语言。其主要漏洞为：filesystemobject组件（FSO）篡改下载FAT分区上的任何文件的漏洞、输入标准的HTML语句或者JavaScript语句会改变输出结果、Access MDB数据库有可能被下载的漏洞及asp程序密码验证漏洞。
2、近几年在国内流行的是SQL注入（国内专利，国外一般不搞这种没技术含量的东西，再次鄙视某些所谓黑客），它与脚本入侵是有明显的区别的，脚本入侵是针对网站的编码脚本语言，而SQL是针对数据库，通过提交特殊结构的语句，可以得到数据库类型、数据库名、数据表名及相应字段，如果用一些注入工具，事半功倍，不过即使用工具也要懂一些基本的原理，很多东西不是单靠工具就能做到的（比如提权）。
3、“盗链”，其定义为：此内容不在自己服务器上，而通过技术手段，绕过别人放广告有利益的最终页，直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址（比如一些音乐、图片、软件的下载地址）然后放置在自己的网站中，通过这种方法盗取大网站的空间和流量。
4、DoS/DDoS攻击。分两类，一类是带宽攻击，一类是流量攻击。最常见的是流量攻击，例如CC攻击就是利用一大堆代理服务器同时访问站点，使IIS服务器耗尽资源，特别是当大批的代理服务器同时访问带有数据库交互的动态ASP、PHP页面时，会在很短的时间内使服务器崩溃。

说到这里我补充一句，强烈建议大家使用VIF防火墙防御脚本、注入，盗链，CC攻击。它是我见过的最高效的保障Web服务安全的软件防火墙了。

为增强Web服务安全，可使用linux/unix服务器系统和APACHE，经常查看LINUX下APACHE服务，配置APACHE下的ACL。

另外Web服务的协议本身也具有安全性支持：
1、身份认证Basic Authentication
Digest Access Authentication（可抵御缺省口令攻击、重放攻击、中间人攻击，可自己添加服务器端的口令管理策略）
2、保密性TLS（基于PKI的认证，双向认证模式：单向TLS认证+客户提供名字/口令）
Microsoft passport

另外，有些应用使用SSL/TLS，我们可以为Web Service申请一个证书（https）。
Web Server往往是网络攻击的入口点，而我们为了提供Web Service，必须要开放端口和一些目录，还要接受各种正常的连接请求，因此防火墙对Web Server的保护是有限的，所以我们要及时打上Web Server软件厂商提供的补丁程序，特别是一些主流的服务软件，比如MS的IIS，要控制好控制目录和文件的权限。另外Web应用开发人员注意，在服务端的运行代码中，对于来自客户端的输入一定要进行验证还要防止缓冲区溢出。

客户端安全性涉：
Cookie的设置，保护用户的隐私
PKI设置，确定哪些是可信任的CA
对可执行代码的限制，包括JavaApplet，ActiveX control