科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全技术 应用服务安全性讲解(一)

安全技术 应用服务安全性讲解(一)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天我们讲一下应用服务的安全性。 应用服务安全,顾名思义,就是指应用服务也就是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。它是网络安全的重要组成部分。(网络 ...

作者:论坛整理 来源:zdnet网络安全 2008年1月19日

关键字: 系统安全 应用安全 安全技术

  • 评论
  • 分享微博
  • 分享邮件

今天我们讲一下应用服务的安全性。
   应用服务安全,顾名思义,就是指应用服务也就是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。它是网络安全的重要组成部分。(网络安全包括操作系统安全、应用服务安全、网络设备安全、网络传输安全等)网络应用服务包括Web服务、FTP服务、DNS服务、Mail服务、Data服务、远程登录服务及其他服务。这个篇幅比较大,所以我们不能像“网络侦察技术分析”(http://bbs.cnfan.net/thread-11095-1-1.html)那样大篇幅的运用图片了,大家跟我一起回到文字时代吧。在这里,我们也是大概的做个介绍,具体的安全操作大家查阅更为详细的安全操作指南。

NO.1 Web服务安全。
Web服务包括三点:
1、静态脚本服务
2、动态脚本服务(脚本很可能就成为获得信息的非正当的服务脚本,80%以上的网站入侵事件都是由脚本安全造成的)
3、Web Service微软提出三层应用的关键技术,是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件(中间件))
Web服务分为C/S和B/S两类:client/server结构(属于瘦客户类型)、Browser/Server(客户为浏览器,服务器为Web Server),通常是多层(或三层)结构中的第一层。在Web应用中,Web Server后面常常与数据库打交道。大家平时所遇到的基本都是B/S结构,B/S之间的通讯协议是HTTP协议(位于TCP之上),默认的端口为80。主要功能就是客户发出对页面的请求,服务器送回这些页面,这极大的需要Web页面的表述和交互能力包括:各种标记、超链接、交互功能(表单、脚本)、交互能力的扩展(Java Applet, ActiveX等)。
Web服务的安全性分两点:
1、服务器端安全性:Web pages的访问控制机制、可用性(防止拒绝服务、抵御各种网络攻击)
2、客户端安全性:个人信息的保护、防止执行恶意代码

服务端安全:
服务端主要漏洞关系如图:
 

服务端面临的安全隐患是最大的:
1、最危险的当然是脚本安全,最显著的就是ASP了,最常用也是最危险的动态脚本语言。其主要漏洞为:filesystemobject组件(FSO)篡改下载FAT分区上的任何文件的漏洞、输入标准的HTML语句或者JavaScript语句会改变输出结果、Access MDB数据库有可能被下载的漏洞及asp程序密码验证漏洞。
2、近几年在国内流行的是SQL注入(国内专利,国外一般不搞这种没技术含量的东西,再次鄙视某些所谓黑客),它与脚本入侵是有明显的区别的,脚本入侵是针对网站的编码脚本语言,而SQL是针对数据库,通过提交特殊结构的语句,可以得到数据库类型、数据库名、数据表名及相应字段,如果用一些注入工具,事半功倍,不过即使用工具也要懂一些基本的原理,很多东西不是单靠工具就能做到的(比如提权)。
3、“盗链”,其定义为:此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
4、DoS/DDoS攻击。分两类,一类是带宽攻击,一类是流量攻击。最常见的是流量攻击,例如CC攻击就是利用一大堆代理服务器同时访问站点,使IIS服务器耗尽资源,特别是当大批的代理服务器同时访问带有数据库交互的动态ASP、PHP页面时,会在很短的时间内使服务器崩溃。

说到这里我补充一句,强烈建议大家使用VIF防火墙防御脚本、注入,盗链,CC攻击。它是我见过的最高效的保障Web服务安全的软件防火墙了。

为增强Web服务安全,可使用linux/unix服务器系统和APACHE,经常查看LINUX下APACHE服务,配置APACHE下的ACL。

另外Web服务的协议本身也具有安全性支持:
1、身份认证Basic Authentication
Digest Access Authentication(可抵御缺省口令攻击、重放攻击、中间人攻击,可自己添加服务器端的口令管理策略)
2、保密性TLS(基于PKI的认证,双向认证模式:单向TLS认证+客户提供名字/口令)
Microsoft passport

另外,有些应用使用SSL/TLS,我们可以为Web Service申请一个证书(https)。
Web Server往往是网络攻击的入口点,而我们为了提供Web Service,必须要开放端口和一些目录,还要接受各种正常的连接请求,因此防火墙对Web Server的保护是有限的,所以我们要及时打上Web Server软件厂商提供的补丁程序,特别是一些主流的服务软件,比如MS的IIS,要控制好控制目录和文件的权限。另外Web应用开发人员注意,在服务端的运行代码中,对于来自客户端的输入一定要进行验证还要防止缓冲区溢出。

客户端安全性涉:
Cookie的设置,保护用户的隐私
PKI设置,确定哪些是可信任的CA
对可执行代码的限制,包括JavaApplet,ActiveX control

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章