http www安全必备知识

2019-11-02 16:42:13

字体：大中小

来源：转载

供稿：网友

要投巨资维护Web站点的安全。另一个最近的例子是，国内最大的综合性网站新浪在某天上午被黑客成功攻击，其门户页面被换成了黄色页面。给新浪造成了不小的副作用。这两个例子说明了Web站点的安全是十分重要的，可以说，随着Internet的飞速发展，Web的安全其重要性逐渐超过其他应用安全。同时，由于Web必须要有开放性，这就是说，必须让任何人都能够有访问的权利，因此，使得防范更加困难。

Web的安全分为服务器安全和客户端安全（浏览器），前者主要针对Web的构建者，后者针对普通的用户。本章将就这两方面展开讨论。

二、什么是HTTP

HTTP（Hypertext Transfer Protocol）超文本传输协议允许用户从WWW(World Wide Web)以及其他分布式信息系统请求和接受超文本的内容。它运行在TCP之上并用绑定服务器端口80，然后它还可以使用其他端口和协议来提供一个可靠的数据流。它是一个请求/响应协议。为了获得信息，一个浏览器客户程序（如netscape）向一个Apache服务器建立一个TCP连接并请求一个资源（“GET”）。服务器检查请求并根据服务器配置和包含的内容进行响应。服务器也许发送一个超文本标记语言（HTML）文件、文本、图片、声音、影像或一个java applet，它们可以在浏览器显示出来。服务器也可以运行一个程序来响应浏览器的请求（如通用网关接口或服务器的应用程序接口）。

测试HTTP连接的一个简易方法（同时也是一个潜在的安全漏洞）是telnet到一个Web服务器主机的端口80。可以输入“GET/”来浏览站点的基本HTML文档（如index.html），如下所示（去掉了HTML内容）：

$ telnet 80

Trying…

Connected to .

Escape character is ‘^]'

(在此敲入GET /) GET /

下面刷的出来一个html的文件，例如：

<html>

<head>

</head>

<frameset rows="128,327*" frameborder="YES" border="0" framespacing="0" cols="*

</frameset>

</body></noframes>

</html>

Connection closed by foreign host.

三、安全风险的分类

Web安全风险一般可以分为三类：

l 对Web服务器及其相连LAN的威胁

对Web客户机的威胁

对服务器和客户机之间的通信信道的威胁

1．服务器的风险

通常的网络安全总是设置各种各样的限制，使得不明身份的人无法获得非授权的服务但是Web服务器恰恰相反，它希望接受尽可能多的客户，对客户几乎没有任何限制和要求，好了，这样，相对于其他网络服务器，Web是最容易受到攻击的。最常见的威胁是HTTP服务器软件中的bug、错误的配置、不安全的CGI程序或者缺乏强大的机密功能等等。服务器通常受到的侵害有：修改和替换服务器提供的内容；获得对服务器访问控制保护的保密文档的访问权；在服务器上执行任意命令并破坏服务器的系统安全；检查日志文件来危害用户的隐私；进行服务拒绝攻击，使服务器或者网络连接失败。

上一篇：Apache rewrite重写规则的常见应用

下一篇：Apache1.3.22主要改进及修正