1.Web服务器存在哪些安全隐患?试列举一些隐患并说明其原理。如何保证Web服务器的安全?
(1)Web服务器因各种原因而不能返回客户要访问的秘密文件、目录或重要数据;
(2)远程用户向服务器发送信息时,特别是像信用卡之类的重要信息时,中途遭不法分子非法拦截;
(3)公共网关接口(Common Gateway Interface,CGI)安全方面存在的漏洞。
CGI是Web信息服务与外部应用程序之间交换数据的标准接口。
CGI可能有意或无意地在主机系统中遗漏bug,给非法黑客创造条件;用CGI脚本编写的程序在涉及远程用户从浏览器中输入表单或进行检索(Search Index)时,会给Web主机系统造成危险。
过旧的WEBweb应用防护系统服务器版本存在大量高风险漏洞,这对于服务器来说是非常危险的。因此应保证WEB服务器程序尽可能的最新或及时安装修复补丁。Web服务器的安全策略是由个人或组织
针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略,这些安全策略因需求的不同而各不相同。对Web服务提供者来说,安全策略的一个重要组成是明确哪些人可以访问哪些Web文档,同时还定义获取权限访问Web文档的人和使用这些访问的人的有关权力和责任。采取何种安全措施,取决于制定的安全策略。必须根据需要和目标来设置安全措施,估计和分析安全风险。制定Web站点的安全策略的基本原则是不要为细节所困扰。还要通过以下来保证web的安全
(1)对于在Web服务器上所开设的账户,应在口令长度及修改期限上做出具体要求,防止被盗用。
(2)尽量在不同的服务器上运行不同的服务(如mail服务和Web服务等)程序。
(3)关闭Web服务器上的不必须的特性服务,否则,有可能遭到该特性所导致的安全威胁。
(4)定期查看服务器中的日志(logs)文件,应该定期地记录Web服务器的活动,分析一切可疑事件。
(5)设置好Web服务器上系统文件的权限和属性。
(6)通过限制访问用户IP或DNS。限制CGI-BIN目录的访问或使用权限。
(7)恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。
(8)增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁;建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。
(9)对Web服务器进行远程管理时,避免使用Telnet、FTP等明文传输协议(容易被监听),建议使用SSL等安全协议进行加密。
(10)严格检查CGI程序和ASP、ASPX、PHP、JSP等脚本程序的使用。因为这些程序会带来系统的安全隐患,而且某些脚本程序本身就存在安全漏洞。
(11)使用防火墙及壁垒主机对数据包进行过滤,禁止某些地址对服务器的某些服务的访问,并在外部网络和Web服务器中建立双层防护。
(12)使用入侵检测系统、监视系统、事件、安全记录和系统日志以及网络中的数据包,对
危险和恶意访问进行阻断、报警等响应。
(13)在Web服务器上使用有效的防病毒系统,防止病毒及木马程序的侵入是保证服务器系统安全的一个关键。
(14)使用漏洞扫描和安全评估软件,对Web系统进行全面的扫描,及时发现并弥补安全漏洞。
2.Web浏览器存在哪些安全隐患?试列举一些隐患并说明其原理。如何保证Web浏览器的安全?
1.浏览器的自动调用
浏览器的一个强大功能就是能够自动调用浏览器所在计算机中的有关应用程序,以便正确显示从Web服务器取得的各种类型的信息。某些功能强大的应用程序依靠来自Web服务器的任意输入参数来运行,可能被用于获取非授权访问权限,对Web浏览器所在的计算机构成了极大的安全威胁。浏览器中使用的协议有HTTP、FTP、GOPHER、WAIS等,还包括NNTP和SMTP。当用户使用浏览器时,实际上是在申请HTTP等服务器。这些服务器都存在漏洞,
是不安全的。
2.恶意代码
由于某些动态页面以来源不可信的用户输入的数据为参数生成页面,所以Web网页中可能会不经意地包含一些恶意的脚本程序等。如果Web服务器对此不进行处理,那么很可能对Web服务器和浏览器用户双方都带来安全威胁。即使采用SSL来保护传输,也不能阻止这些恶意的代码传输。
现在有这样的一些网站,只要链接到它的页面上,不是IE首页被改就是IE的某些选项被禁用了。一些网页上的恶意代码还可以格式化硬盘或删除硬盘上存储的数据,它们的主要行为包括:① 修改IE浏览器的标题;② 修改IE浏览器的默认首页,迫使用户在启动IE时都要访问它设置好的网站,这种情况尤以暴力网站为多;③ 禁止Internet选项、禁止IE右键菜单的弹出或者右键菜单变成灰无法使用,网络所具有的功能被屏蔽掉;④ 禁止系统对注册表的任何操作。
3.浏览器本身的漏洞
浏览器的功能越来越强大,但是由于程序结构的复杂性,出现在浏览器上的漏洞层出不穷。在开发商堵住了旧的漏洞的同时,可能又出现了新的漏洞。浏览器的安全漏洞可能让攻击者获取磁盘信息、安全口令,甚至破坏磁盘文件系统等。
4.浏览器泄露的敏感信息
Web服务器大多对每次接受的访问都做相应的记录,并保存到日志文件中。通常包括来访的IP地址、来访的用户名、请求的URL、请求的状态和传输的数据大小。浏览器在向外传送信息的时候,很可能已经把自己的敏感信息送了出去。
5.Web欺骗
由于Web网页具有容易复制的特点,使得Web欺骗变得很容易实现。Web欺骗就是一种网络欺骗,攻击者构建的虚假网站看起来就像真实站点,具有同样的链接,同样的页面,而实际上,被欺骗的所有浏览器用户与这些伪装页面的交互都受攻击者控制。
安装个人防火墙和病毒防火墙、及时更新杀毒软件、使用安全合理的密码口令、不随意下载和运行不明软件等。
1 屏蔽恶意网站,通过IE 6.0的Cookie策略,个性化地设定浏览网页时的Cookie规则,更好地保护自己的信息,增加使用IE的安全性;
2 有效保护IE的首页和工具栏,经常清除已浏览网址(URL),清除已访问网页;
3 使用智能过滤控件,经常清除已浏览网址(URL)和已访问过的网页,禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件;
4 调整自动完成功能的设置,做到只选择针对Web地址、表单和密码使用“自动完成”功能,也可以只在某些地方使用此功能,还可以清除任何项目的历史记录;
5 若需要隐藏控制面板、网上邻居等选项,可以使用安全特别设置;
6 使用在线杀毒功能,以便全面掌握计算机的安全状态。
发表评论