應(yīng)用服務(wù)的安全課件

介紹信息安全技術(shù)專家崗位資格技能認(rèn)證培訓(xùn)中華人民共和國(guó)勞動(dòng)與社會(huì)保障部職業(yè)資格認(rèn)證國(guó)家信息安全培訓(xùn)認(rèn)證管理中心主任勞動(dòng)與社會(huì)保障部國(guó)家督導(dǎo)、高級(jí)考評(píng)員信息產(chǎn)業(yè)部信息化與電子政務(wù)專家盛鴻宇副研究員e_gov@第六章應(yīng)用服務(wù)的安全網(wǎng)絡(luò)環(huán)境中多樣化的應(yīng)用多樣化的應(yīng)用需要什么？安全的通信、交易環(huán)境信息安全應(yīng)用需要什么保護(hù)？物理（硬件安全）數(shù)據(jù)安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全身份認(rèn)證通信雙方能互相驗(yàn)證對(duì)方的身份，確認(rèn)對(duì)方確實(shí)是他所聲明的身份。我是田景成，你是網(wǎng)上銀行服務(wù)器嗎？嗨，我是網(wǎng)上銀行服務(wù)器。你真的是田景成嗎？你真的是網(wǎng)上銀行服務(wù)器嗎？業(yè)務(wù)服務(wù)器田景成數(shù)據(jù)保密通信雙方傳送的信息需要保密，只有他們自己知道。他們需要說(shuō)“悄悄話”。我需要轉(zhuǎn)帳，這是我的帳號(hào)和密碼。業(yè)務(wù)服務(wù)器田景成帳號(hào)：1234567890

密碼：8888888成景田數(shù)據(jù)完整性通信雙方應(yīng)能檢測(cè)出信息在傳輸途中是否被篡改。轉(zhuǎn)帳200萬(wàn)到關(guān)曉陽(yáng)的帳號(hào)。業(yè)務(wù)服務(wù)器田景成成景田轉(zhuǎn)帳100萬(wàn)到關(guān)曉陽(yáng)的帳號(hào)，轉(zhuǎn)帳100萬(wàn)到成景田的帳號(hào)。篡改應(yīng)用服務(wù)具體劃分Web服務(wù)FTP服務(wù)Mail服務(wù)域名服務(wù)Data服務(wù)SMB服務(wù)遠(yuǎn)程登錄服務(wù)終端服務(wù)其他服務(wù)Web服務(wù)靜態(tài)腳本服務(wù)/動(dòng)態(tài)腳本服務(wù)腳本很可能就成為獲得信息的非正當(dāng)?shù)姆?wù)腳本W(wǎng)ebService微軟提出三層應(yīng)用的關(guān)鍵技術(shù)，是三層結(jié)構(gòu)中客戶端和系統(tǒng)服務(wù)搭建橋梁的中間層應(yīng)用服務(wù)控件（中間件）基本HTTP請(qǐng)求“”等價(jià)于HTTP命令“GET/HTTP/1.0”CGI調(diào)用“+var2”表示將var1和var2提交給cgi.exe(“+”是分隔符)ASP調(diào)用

表示將X、Y分別作為兩個(gè)變量提交Web結(jié)構(gòu)client/server結(jié)構(gòu)，屬于瘦客戶類型Browser/Server,客戶為瀏覽器，服務(wù)器為WebServer通常是多層(或三層)結(jié)構(gòu)中的第一層在Web應(yīng)用中，WebServer后面常常與數(shù)據(jù)庫(kù)打交道Web結(jié)構(gòu)B/S之間的通訊協(xié)議：HTTPHTTP位于TCP之上，默認(rèn)的端口為80客戶發(fā)出對(duì)頁(yè)面的請(qǐng)求，服務(wù)器送回這些頁(yè)面Web頁(yè)面的表述和交互能力各種標(biāo)記、超鏈接，…交互功能：表單、腳本交互能力的擴(kuò)展：JavaApplet,ActiveX,…Web服務(wù)安全問(wèn)題歸納服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了公開(kāi)訪問(wèn)的區(qū)域服務(wù)器信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)主要漏洞提供了不應(yīng)該提供的服務(wù)把私有數(shù)據(jù)放到了公開(kāi)訪問(wèn)區(qū)域信賴了來(lái)自不可信數(shù)據(jù)源的數(shù)據(jù)物理路徑泄露、CGI源代碼泄露、目錄遍歷、執(zhí)行任意命令、緩沖區(qū)溢出、拒絕服務(wù)、條件競(jìng)爭(zhēng)和跨站腳本執(zhí)行漏洞

Web服務(wù)器漏洞的解釋目錄遍歷

執(zhí)行任意命令

緩沖區(qū)溢出

拒絕服務(wù)

條件競(jìng)爭(zhēng)

物理路徑泄露

Web服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的，或某些顯示環(huán)境變量的程序錯(cuò)誤輸出

IIS二次解碼漏洞和Unicode解碼漏洞

通過(guò)解碼漏洞或SSI指令解析來(lái)執(zhí)行系統(tǒng)命令超長(zhǎng)URL，超長(zhǎng)HTTPHeader域，或者是其它超長(zhǎng)的數(shù)據(jù)Web服務(wù)器在處理特殊請(qǐng)求時(shí)不知所措或處理方式不當(dāng)，因此出錯(cuò)終止或掛起

沒(méi)有臨時(shí)文件的屬性進(jìn)行檢查IIS安全漏洞Null.htw漏洞MDAC執(zhí)行本地命令漏洞“.htr”問(wèn)題IIS緩沖溢出ISM.DLL緩沖截?cái)嗦┒碔IS存在的Unicode解析錯(cuò)誤漏洞……Codebrws.asp

Showcode.asp

Null.htw

以上四個(gè)漏洞均可以察看文件源代碼IIS服務(wù)泄露源代碼webhits.dll&.htwASPDotBug在請(qǐng)求的URL結(jié)尾追加一個(gè)或者多個(gè)點(diǎn)導(dǎo)致泄露ASP源代碼。.ISM.DLL允許攻擊者查看任意文件內(nèi)容和源代碼.idc&.idaBugs

這個(gè)漏洞實(shí)際上類似ASPdot漏洞，其能在IIS4.0上顯示其WEB目錄信息，很奇怪的說(shuō)有些還在IIS5.0上發(fā)現(xiàn)過(guò)此類漏洞，通過(guò)增加?idc?或者?ida?后綴到URL會(huì)導(dǎo)致IIS嘗試允許通過(guò)數(shù)據(jù)庫(kù)連接程序.DLL來(lái)運(yùn)行.IDC，如果.idc不存在，它就返回一些信息給客戶端。IIS服務(wù)泄露源代碼IIS4.0中包含一個(gè)有趣的特征就是允許遠(yuǎn)程用戶攻擊WEB服務(wù)器上的用戶帳號(hào)，就是你的WEB服務(wù)器是通過(guò)NAT來(lái)轉(zhuǎn)換地址的，還可以被攻擊。./iisadmpwd存在OFFICE2000和FRONTPAGE2000ServerExtensions中的WebDAV中，當(dāng)有人請(qǐng)求一個(gè)ASP/ASA后者其他任意腳本的時(shí)候在HTTPGET加上Translate:f后綴，并在請(qǐng)求文件后面加/就會(huì)顯示文件代碼，當(dāng)然在沒(méi)有打WIN2KSP1補(bǔ)丁為前提。這個(gè)是W2K的漏洞，但由于FP2000也安裝在IIS4.0上，所以在IIS4.0上也有這個(gè)漏洞。利用程序:trasn1.pl,trans2.plTranslate:fBug泄露asp文件源代碼IIS的Unicode問(wèn)題問(wèn)題產(chǎn)生的要義“%c0%af”和“%c1%9c”分別是“/”“\”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等對(duì)策安裝MS00-086中的補(bǔ)丁由于沒(méi)有實(shí)現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS設(shè)置嚴(yán)格的NTFS權(quán)限在服務(wù)器的Write和ExcuteACL中刪除Everyone和User組更近一步雙解碼/二次解碼同樣由NSFocus發(fā)布對(duì)策：應(yīng)用MS01-26給出的補(bǔ)丁(不包括在sp2中)注意和Unicode的區(qū)別，包括相關(guān)日志GET/scripts/..%255c..255c%winnt/system32/cmd.exeIIs4hack緩沖溢出主要存在于.htr,.idc和.stm文件中，其對(duì)關(guān)于這些文件的URL請(qǐng)求沒(méi)有對(duì)名字進(jìn)行充分的邊界檢查，導(dǎo)致運(yùn)行攻擊者插入一些后門程序在系統(tǒng)中下載和執(zhí)行程序。IIS溢出問(wèn)題IPP(InternetPrintingProtocol)緩沖區(qū)溢出(IPP是處理.printer文件的C:\winnt\system32\msw3prt.dll)當(dāng)以下調(diào)用超過(guò)420字節(jié)時(shí)，問(wèn)題就會(huì)發(fā)生對(duì)策：刪除DLL和文件擴(kuò)展之間的映射GET/NULL.printerHTTP/1.0Host:[buffer]刪除DLL和文件擴(kuò)展之間的映射IIS溢出問(wèn)題索引服務(wù)ISAPI擴(kuò)展溢出(通常被稱為ida/idq溢出)由idq.dll引起，當(dāng)buffer長(zhǎng)度超過(guò)240字節(jié)時(shí)，問(wèn)題就會(huì)發(fā)生Null.ida為文件名，無(wú)需真的存在直至現(xiàn)在上沒(méi)有漏洞利用代碼CodeRed的感染途徑對(duì)策：刪除idq.dll和文件擴(kuò)展之間的映射GET/NULL.ida?HTTP/1.1Host:[buffer]IIS溢出問(wèn)題Frontpage2000服務(wù)擴(kuò)展溢出最早由NSFocus(中國(guó)安全研究小組)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions問(wèn)題焦點(diǎn)是fp30reg.dll和fp4areg.dll(后者默認(rèn)總是提供的)收到超過(guò)258字節(jié)的URL請(qǐng)求時(shí)，問(wèn)題就會(huì)出現(xiàn)漏洞利用工具：fpse2000ex對(duì)策：刪除fp30reg.dll和fp4areg.dll文件IIS的其它問(wèn)題源代碼泄漏的危險(xiǎn).htr風(fēng)險(xiǎn).htw/webhits風(fēng)險(xiǎn)權(quán)限提升的問(wèn)題遠(yuǎn)程調(diào)用RevertToself的ISAPIDLL向LSA本地注射代碼CGI安全問(wèn)題歸納暴露敏感或不敏感信息缺省提供的某些正常服務(wù)未關(guān)閉利用某些服務(wù)漏洞執(zhí)行命令應(yīng)用程序存在遠(yuǎn)程溢出非通用CGI程序的編程漏洞具體的CGI安全問(wèn)題配置錯(cuò)誤邊界條件錯(cuò)誤訪問(wèn)驗(yàn)證錯(cuò)誤來(lái)源驗(yàn)證錯(cuò)誤輸入驗(yàn)證錯(cuò)誤意外情況處理失敗策略錯(cuò)誤習(xí)慣問(wèn)題使用錯(cuò)誤CGI安全保證保持服務(wù)器安全正確安裝CGI程序，刪除不必要的安裝文件和臨時(shí)文件使用安全的函數(shù)使用安全有效的驗(yàn)證用戶身份的方法驗(yàn)證用戶來(lái)源，防止用戶短時(shí)間內(nèi)過(guò)多動(dòng)作推薦過(guò)濾特殊字符處理好意外情況實(shí)現(xiàn)功能時(shí)制定安全合理的策略培養(yǎng)良好的編程習(xí)慣避免“想當(dāng)然”的錯(cuò)誤定期使用CGI漏洞檢測(cè)工具ASP的安全性Code.asp文件會(huì)泄漏ASP代碼組件篡改下載FAT分區(qū)上的任何文件的漏洞輸入標(biāo)準(zhǔn)的HTML語(yǔ)句或者JavaScript語(yǔ)句會(huì)改變輸出結(jié)果AccessMDB數(shù)據(jù)庫(kù)有可能被下載的漏洞asp程序密碼驗(yàn)證漏洞(1)為你的數(shù)據(jù)庫(kù)文件名稱起個(gè)復(fù)雜的非常規(guī)的名字，并把他放在非常規(guī)目錄下。(2)不要把數(shù)據(jù)庫(kù)名寫在程序中。(3)使用ACCESS來(lái)為數(shù)據(jù)庫(kù)文件編碼及加密。防止Access數(shù)據(jù)庫(kù)被下載防止Access數(shù)據(jù)庫(kù)被下載常見(jiàn)措施：配置安全的IIS運(yùn)行環(huán)境

作為運(yùn)行在WindowsNT操作系統(tǒng)環(huán)境下的IIS，其安全性也應(yīng)建立在WindowsNT安全性的基礎(chǔ)之上。1.應(yīng)用NTFS文件系統(tǒng)2.文件夾共享權(quán)限的修改3.為系統(tǒng)管理員賬號(hào)更名4.取消TCP/IP上的NetBIOS綁定設(shè)置IIS的安全機(jī)制一1.安裝時(shí)應(yīng)注意的安全問(wèn)題（1）避免安裝在主域控制器上（2）避免安裝在系統(tǒng)分區(qū)上2.用戶控制的安全性（1）限制匿名用戶的訪問(wèn)

（2）一般用戶通過(guò)使用數(shù)字與字母（包括大小寫）結(jié)合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試以及賬戶的生存期等對(duì)一般用戶賬戶進(jìn)行管理。3.登錄認(rèn)證的安全性IIS服務(wù)器提供對(duì)用戶三種形式的身份認(rèn)證：匿名訪問(wèn)：不需要與用戶之間進(jìn)行交互，允許任何人匿名訪問(wèn)站點(diǎn)，在這三種身份認(rèn)證中的安全性是最低的。

基本（Basic）驗(yàn)證：在此方式下用戶輸入的用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，沒(méi)有任何加密，非法用戶可以通過(guò)網(wǎng)上監(jiān)聽(tīng)來(lái)攔截?cái)?shù)據(jù)包，并從中獲取用戶名及密碼，安全性能一般。

WindowsNT請(qǐng)求/響應(yīng)方式：瀏覽器通過(guò)加密方式與IIS服務(wù)器進(jìn)行交流，有效地防止了竊聽(tīng)者，是安全性比較高的認(rèn)證形式。設(shè)置IIS的安全機(jī)制二4.訪問(wèn)權(quán)限控制（1）文件夾和文件的訪問(wèn)權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對(duì)其權(quán)限加以控制，對(duì)不同的用戶組和用戶進(jìn)行不同的權(quán)限設(shè)置；另外，還可利用NTFS的審核功能對(duì)某些特定用戶組成員讀文件的企圖等方面進(jìn)行審核，有效地通過(guò)監(jiān)視如文件訪問(wèn)、用戶對(duì)象的使用等發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆，及時(shí)加以預(yù)防制止。（2）WWW目錄的訪問(wèn)權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過(guò)操作Web站點(diǎn)屬性頁(yè)實(shí)現(xiàn)對(duì)WWW目錄訪問(wèn)權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全性。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限，允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權(quán)限，允許用戶運(yùn)行WWW目錄下的程序和腳本。設(shè)置IIS的安全機(jī)制三5.IP地址的控制IIS可以設(shè)置允許或拒絕從特定IP發(fā)來(lái)的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問(wèn)服務(wù)，你可以通過(guò)設(shè)置來(lái)阻止除指定IP地址外的整個(gè)網(wǎng)絡(luò)用戶來(lái)訪問(wèn)你的Web服務(wù)器。6.端口安全性的實(shí)現(xiàn)可以通過(guò)修改端口號(hào)來(lái)提高IIS服務(wù)器的安全性，如果你修改了端口設(shè)置，只有知道端口號(hào)的用戶才可以訪問(wèn)。7.禁止IP轉(zhuǎn)發(fā)功能提高服務(wù)的安全性8.啟用SSL安全機(jī)制加強(qiáng)Web服務(wù)的安全性

設(shè)置IIS的安全機(jī)制四提高IIS的安全性和穩(wěn)定性一限制在web服務(wù)器開(kāi)帳戶，定期刪除一些斷進(jìn)程的用戶。對(duì)在web服務(wù)器上開(kāi)的帳戶，在口令長(zhǎng)度及定期更改方面作出要求，防止被盜用。

盡量使ftp，mail等服務(wù)器與之分開(kāi)，去掉ftp，mail，tftp，NIS，NFS，finger，netstat等一些無(wú)關(guān)的應(yīng)用。

在web服務(wù)器上去掉一些絕對(duì)不用的shell等之類解釋器，即當(dāng)在你的cgi的程序中沒(méi)用到perl時(shí)，就盡量把perl在系統(tǒng)解釋器中刪除掉。

有些WEB服務(wù)器把WEB的文檔目錄與FTP目錄指在同一目錄時(shí)，應(yīng)該注意不要把FTP的目錄與CGI-BIN指定在一個(gè)目錄之下。設(shè)置好web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性，對(duì)可讓人訪問(wèn)的文檔分配一個(gè)公用的組如：www，并只分配它只讀的權(quán)利。對(duì)于WEB的配置文件僅對(duì)WEB管理員有寫的權(quán)利。

定期查看服務(wù)器中的日志logs文件，分析一切可疑事件。通過(guò)限制許可訪問(wèn)用戶IP或DNS提高ISS的安全性和穩(wěn)定性二IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序

示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請(qǐng)注意一些示例安裝，它們只可從

或訪問(wèn)；但是，它們?nèi)詰?yīng)被刪除。下面列出一些示例的默認(rèn)位置。示例虛擬目錄位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文檔\IISHelpc:\winnt\help\iishelp

數(shù)據(jù)訪問(wèn)\MSADCc:\programfiles\commonfiles\system\msadc

禁用或刪除不需要的COM組件某些COM組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對(duì)象組件，但要注意這將也會(huì)刪除Dictionary對(duì)象。切記某些程序可能需要您禁用的組件。如SiteServer3.0使用Object。以下命令將禁用Object：regsvr32scrrun.dll/u刪除IISADMPWD虛擬目錄該目錄可用于重置WindowsNT和Windows2000密碼。它主要用于Intranet情況下，并不作為IIS5的一部分安裝，但是IIS4服務(wù)器升級(jí)到IIS5時(shí)，它并不刪除。如果您不使用Intranet或如果將服務(wù)器連接到Web上，則應(yīng)將其刪除。IIS服務(wù)安全配置刪除無(wú)用的腳本映射

IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如.asp和.shtm文件。IIS接收到這些類型的文件請(qǐng)求時(shí)，該調(diào)用由DLL處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下：

打開(kāi)Internet服務(wù)管理器。右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。主目錄|配置|刪除無(wú)用的.htr.ida.idq.printer.idc.stm.shtml等IIS服務(wù)安全配置禁用父路徑

“父路徑”選項(xiàng)允許在對(duì)諸如MapPath

函數(shù)調(diào)用中使用“..”。禁用該選項(xiàng)的步驟如下：

右鍵單擊該Web站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。單擊“主目錄”選項(xiàng)卡。單擊“配置”。單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。取消選擇“啟用父路徑”復(fù)選框。禁用-內(nèi)容位置中的IP地址

IIS4里的“內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部IP地址。IIS服務(wù)安全配置IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)腎IS日志文件ACL

確保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)

這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。

設(shè)置適當(dāng)?shù)奶摂M目錄的權(quán)限

確保IIS虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄。

將IIS目錄重新定向

更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置。使用專門的安全工具

微軟的IIS安全設(shè)置工具：IISLockTool；是針對(duì)IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性。Web服務(wù)的用戶身份認(rèn)證

Web服務(wù)器支持的驗(yàn)證方式基本驗(yàn)證的具體實(shí)現(xiàn)方法用IIS建立高安全性Web服務(wù)器WEB安全性的綜合策略協(xié)議本身的安全性支持身份認(rèn)證BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web認(rèn)證BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的認(rèn)證一種雙向認(rèn)證模式：?jiǎn)蜗騎LS認(rèn)證+客戶提供名字/口令MicrosoftpassportBasicAuthenticationWeb服務(wù)器用戶名和密碼用戶名和密碼口令直接明文傳輸隱患：sniffer、中間代理、假冒的服務(wù)器DigestAccesAuthenticationChallenge-Response,不傳輸口令重放攻擊、中間人攻擊服務(wù)器端的口令管理策略WEB安全性的綜合策略有些應(yīng)用使用SSL/TLS，為WebService申請(qǐng)一個(gè)證書(shū)WebServer往往是網(wǎng)絡(luò)攻擊的入口點(diǎn)為了提供WebService，必須要開(kāi)放端口和一些目錄，還要接受各種正常的連接請(qǐng)求防火墻對(duì)WebServer的保護(hù)是有限的WEB安全性的綜合策略及時(shí)打上WebServer軟件廠商提供的補(bǔ)丁程序特別是一些主流的服務(wù)軟件，比如MS的IIS控制目錄和文件的權(quán)限Web應(yīng)用開(kāi)發(fā)人員注意在服務(wù)端的運(yùn)行代碼中，對(duì)于來(lái)自客戶端的輸入一定要進(jìn)行驗(yàn)證防止緩沖區(qū)溢出Web客戶端的安全性客戶端安全性涉及到Cookie的設(shè)置，保護(hù)用戶的隱私PKI設(shè)置，確定哪些是可信任的CA對(duì)可執(zhí)行代碼的限制，包括JavaApplet，ActiveXcontrol客戶瀏覽器的安全設(shè)置真的安全嗎我們有必要了解這些安全性FTP服務(wù)文件傳輸協(xié)議(Protocol，F(xiàn)TP)FTP服務(wù)通常被攻擊者上傳后門程序文件到主機(jī)，然后通過(guò)種種方式轉(zhuǎn)移成為激活的后門注意：資源共享和權(quán)限控制矛盾的存在FTP安全FTP的一些特性FTP的包過(guò)濾方式FTP服務(wù)形態(tài)FTP服務(wù)的安全性FTP服務(wù)器的安全配置FTP的特性與目標(biāo)促進(jìn)文件（程序或數(shù)據(jù)）的共享支持間接或隱式地使用遠(yuǎn)程計(jì)算機(jī)幫助用戶避開(kāi)主機(jī)上不同的可靠并有效地傳輸數(shù)據(jù)FTP的包過(guò)濾方式

FTP使用兩個(gè)獨(dú)立的TCP連接一個(gè)在服務(wù)器和客戶程序之間傳遞命令和結(jié)果（通常稱為命令通道）另一個(gè)用來(lái)傳送真實(shí)的文件和目錄列表（通常稱為數(shù)據(jù)通道）多數(shù)FTP服務(wù)器和客戶程序都支持“反向方式”或“PASV方式”FTP服務(wù)形態(tài)匿名服務(wù)（AnonymousService）FTP代理：允許第三方文件傳輸針對(duì)FTP的攻擊FTP跳轉(zhuǎn)攻擊無(wú)訪問(wèn)控制密碼截獲端口盜用一、取消匿名訪問(wèn)功能二、啟用日志記錄FTP服務(wù)器日志記錄著所有用戶的訪問(wèn)信息，如訪問(wèn)時(shí)間、客戶機(jī)IP地址、使用的登錄賬號(hào)等，這些信息對(duì)于FTP服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義，一旦服務(wù)器出現(xiàn)問(wèn)題，就可以查看FTP日志，找到故障所在，及時(shí)排除。因此一定要啟用FTP日志記錄。

普通FTP服務(wù)器的安全配置一三、正確設(shè)置用戶訪問(wèn)權(quán)限四、啟用磁盤配額，限制FTP存儲(chǔ)空間

五、TCP/IP訪問(wèn)限制，拒絕或只允許某些IP地址的訪問(wèn)。六、合理設(shè)置組策略

1.審核賬戶登錄事件2.增強(qiáng)賬號(hào)密碼的復(fù)雜性

3.賬號(hào)登錄限制

普通FTP服務(wù)器的安全配置二一、對(duì)“本地服務(wù)器”進(jìn)行設(shè)置1.選中“攔截ＦＴＰ＿ｂｏｕｎｃｅ攻擊和ＦＸＰ”Ｓｅｒｖ－Ｕ的安全性設(shè)置當(dāng)使用ＦＴＰ協(xié)議進(jìn)行文件傳輸時(shí)，客戶端首先向ＦＴＰ服務(wù)器發(fā)出一個(gè)“ＰＯＲＴ”命令，該命令中包含此用戶的ＩＰ地址和將被用來(lái)進(jìn)行數(shù)據(jù)傳輸?shù)亩丝谔?hào)，服務(wù)器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下，上述過(guò)程不會(huì)出現(xiàn)任何問(wèn)題，但當(dāng)客戶端是一名惡意用戶時(shí)，可能會(huì)通過(guò)在ＰＯＲＴ命令中加入特定的地址信息，使ＦＴＰ服務(wù)器與其它非客戶端的機(jī)器建立連接。雖然這名惡意用戶可能本身無(wú)權(quán)直接訪問(wèn)某一特定機(jī)器，但是如果ＦＴＰ服務(wù)器有權(quán)訪問(wèn)該機(jī)器的話，那么惡意用戶就可以通過(guò)ＦＴＰ服務(wù)器作為中介，仍然能夠最終實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接。這就是ＦＸＰ，也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。在“高級(jí)”選項(xiàng)卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒(méi)有，選擇它們?！凹用苊艽a”使用單向ｈａｓｈ函數(shù)（ＭＤ５）加密用戶口令，加密后的口令保存在ＳｅｒｖＵＤａｅｍｏｎ．ｉｎｉ或是注冊(cè)表中。如果不選擇此項(xiàng)，用戶口令將以明文形式保存在文件中；“啟用安全”將啟動(dòng)Ｓｅｒｖ－Ｕ服務(wù)器的安全成功。2.檢查“加密密碼”和“啟用安全”是否被選中。二、對(duì)域中的服務(wù)器進(jìn)行設(shè)置Ｓｅｒｖ－Ｕ對(duì)每個(gè)賬戶的密碼都提供了以下三種安全類型：規(guī)則密碼、ＯＴＰＳ／ＫＥＹＭＤ４和ＯＴＰＳ／ＫＥＹＭＤ５。不同的類型對(duì)傳輸?shù)募用芊绞揭膊煌?，以?guī)則密碼安全性最低。進(jìn)入擁有一定管理權(quán)限的賬戶的設(shè)置中，在“常規(guī)”選項(xiàng)卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。注意，當(dāng)用戶憑此賬戶登錄服務(wù)器時(shí)，需要ＦＴＰ客戶端軟件支持此密碼類型，如ＣｕｔｅＦＴＰＰｒｏ等，輸入密碼時(shí)選擇相應(yīng)的密碼類型方可通過(guò)服務(wù)器驗(yàn)證。1.選擇合適的密碼類型Ｓｅｒｖ－Ｕ的安全性設(shè)置二2.謹(jǐn)慎設(shè)置主目錄及其權(quán)限凡是沒(méi)必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的，盡量不要賦予。

3.開(kāi)啟日志，并經(jīng)常檢查

在“日志”選項(xiàng)卡中將“啟用記錄到文件”選中，并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等，以方便隨時(shí)查詢服務(wù)器異常原因。Solaris操作系統(tǒng)FTP漏洞該方法利用了Solaris操作系統(tǒng)中FTPD的一個(gè)BUG，使得用戶可以獲得該機(jī)的口令文件。具體過(guò)程如下：1.通過(guò)ftp正常登錄到目的主機(jī)上2.輸入如下命令序列：ftp>userrootwrongpasswdftp>quotepasv3.這時(shí)，ftpd會(huì)報(bào)錯(cuò)退出，同時(shí)會(huì)在當(dāng)前目錄下生成一個(gè)core，口令文件就包含在這個(gè)core中。4.再次進(jìn)入FTP>getcoreMail服務(wù)SMTP和POP、IMAP都存在一定的問(wèn)題從兩方面理解：協(xié)議和服務(wù)端程序尤其以SMTP為討論重點(diǎn)Mail服務(wù)是一種不安全的服務(wù)，因?yàn)樗仨毥邮軄?lái)自Internet的幾乎所有數(shù)據(jù)走進(jìn)MS客戶端客戶端風(fēng)險(xiǎn)評(píng)估惡意電子郵件MIME擴(kuò)展Outlook緩沖區(qū)溢出MediaPlay緩沖區(qū)溢出VBS地址簿蠕蟲(chóng)惡意郵件實(shí)例HeloMailfroam:Rcptto:DataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的開(kāi)放SMTP郵件中繼此處可以添加惡意客戶端腳本通過(guò)下列命令執(zhí)行：Typemail.txt|telnetIP25Outlook溢出起源于vCard(一種電子名片)Outlook直接打開(kāi)并運(yùn)行附件中的vCards而不提示用戶vCards存儲(chǔ)于.vcf文件中，也是沒(méi)有提示而直接運(yùn)行的當(dāng)vCards的生日字段(BDAY)超過(guò)55字符時(shí)，就會(huì)出現(xiàn)溢出對(duì)策：應(yīng)用IE5.5sp2媒體元文件<ASXVersion=“3.0”><Entry><refHREF=“path”/></Entry></ASX>問(wèn)題所在帶有超長(zhǎng)path值的.asx文件試圖自動(dòng)瀏覽時(shí)，會(huì)導(dǎo)致資源管理器崩潰；另外，可以向path寫入適當(dāng)代碼垃圾郵件泛濫成災(zāi)！2003年及2004年垃圾郵件異常猖狂垃圾郵件層出不窮形如用特殊字符分隔單詞將文字保存在圖片里html格式等反垃圾郵件軟件依然不足人工智能算法/DNA算法實(shí)現(xiàn)依然復(fù)雜目前識(shí)別技術(shù)無(wú)法與人腦相比基于內(nèi)容過(guò)濾的算法（如Bayes）對(duì)中文的處理能力依然薄弱。垃圾郵件大量充斥著郵件隊(duì)列！通信中斷！損失大量合作機(jī)會(huì)！耗費(fèi)大量網(wǎng)絡(luò)資源，年損失幾百億美元！我們需要便宜、有效的手段遏止Spam!NOSPAM！什么技術(shù)可以勝任？成本低部署易效能好APFcan!APF定義APF=AntispamPolicyFramework

是一種利用綜合策略分析SMTP信息，主要用于對(duì)付垃圾郵件的一套框架。

APS=APFService/System

主要以Client/Server模式對(duì)外提供APF完整支持的服務(wù)體系，模式類似于RBL/DNS。為什么設(shè)計(jì)APF?RBL命中率不足，誤判，即時(shí)性不夠SPF依然是Draft，國(guó)內(nèi)推廣困難現(xiàn)有技術(shù)/框架使用部署成本很高內(nèi)容過(guò)濾技術(shù)仍不足，有待改進(jìn)分析發(fā)現(xiàn)SMTP階段就可識(shí)別UCERBL的不足RBL屬于被動(dòng)還擊類技術(shù)99%的RBL都是國(guó)外組織維護(hù)中國(guó)IP被封殺嚴(yán)重準(zhǔn)確率不夠，易誤殺面臨IPV6問(wèn)題SPF的不足SPF依然是草案(Draft)用戶對(duì)SPF認(rèn)知極其有限SPF涉及DNS修改，部署起來(lái)工程浩大國(guó)內(nèi)絕大部分域名一定時(shí)期內(nèi)都無(wú)法實(shí)施SPF域名注冊(cè)/管理商不提供SPF支持反垃圾郵件部署成本高企業(yè)自力開(kāi)發(fā)/實(shí)施技術(shù)人員AntiSpam經(jīng)驗(yàn)豐富綜合利用多種技術(shù)管控整個(gè)團(tuán)隊(duì)，耗時(shí)耗力購(gòu)買軟/硬件部署專用商業(yè)軟/硬件非常昂貴!使用復(fù)雜且定制困難內(nèi)容過(guò)濾技術(shù)仍需改進(jìn)Bayes算法基于規(guī)則匹配加權(quán)類DNA遺傳算法分析發(fā)現(xiàn)SMTP階段就可識(shí)別UCE垃圾郵件樣本分析

結(jié)果：基于SMTP特征的準(zhǔn)確率較內(nèi)容過(guò)濾（使用SpamAssassin及自定義的規(guī)則）要高。

特征例子偽造來(lái)信人(Sender)來(lái)自O(shè)pen-relay主機(jī)正文變化多端，但都來(lái)自同一個(gè)ip地址某個(gè)時(shí)段發(fā)送大量郵件信頭缺失或不符合RFC統(tǒng)計(jì)分析結(jié)果(3-10月)UCE的SMTP特征缺乏必需信頭的信件(Header-lacking)不符合RFC中關(guān)于電子郵件規(guī)定的信件（RFC-ignorant）錯(cuò)誤的信件標(biāo)記信息（Header-forgery）同樣內(nèi)容發(fā)送頻率（Abnormal-rate）過(guò)高的信件。APF設(shè)計(jì)宗旨APF在設(shè)計(jì)過(guò)程中遵循了如下原則:集中/半集中式C/S數(shù)據(jù)交換結(jié)構(gòu)難度適中的實(shí)現(xiàn)技術(shù)+良好的構(gòu)思使用20%的精力去對(duì)付80%的Spam盡量使用現(xiàn)成的優(yōu)秀自由軟件方案/技術(shù)降低使用難度，提供盡可能高的靈活性APF基本原理(1)三大部分構(gòu)成

MTA

APF客戶端

APF服務(wù)端

(淺蘭色標(biāo)記）

典型的Client/Server結(jié)構(gòu)主要運(yùn)算/處理負(fù)載交給APF服務(wù)端客戶端非常簡(jiǎn)單APF基本原理(2)V1.0APF服務(wù)端軟件流水線串行工作任一異常即跳出缺點(diǎn)：只獲得某個(gè)模塊的判決結(jié)果不能綜合判斷APF基本原理(2)V2.0APF服務(wù)端改進(jìn)模塊處理相互獨(dú)立處理結(jié)果最后匯總相互結(jié)果不影響優(yōu)點(diǎn)可進(jìn)行加權(quán)用戶高度定制結(jié)果便于綜合分析APF基本原理(3)V1.0協(xié)議

標(biāo)簽名描述(綠色為目前支持)request目前只支持一個(gè)值：smtpd_access_policyprotocol_state可能的值：CONNECT,EHLO,HELO,MAIL,RCPT,DATA,VRFY,ETRNprotocol_name可能的值：ESMTP或SMTPhelo_nameSMTP客戶端的主機(jī)名senderMAILFROM階段的來(lái)信人地址recipientRCPTTO階段的收件人地址client_addressSMTP客戶端的ip地址client_nameSMTP客戶端ip地址反解（PTR）APF基本原理(3)V2.0協(xié)議

增補(bǔ)了一些新的屬性名及策略調(diào)整標(biāo)簽名描述Result_type有效值：USRDFTADVOLDAuth_userSMTP認(rèn)證的用戶名Auth_methodSMTP認(rèn)證的方法（plain,cram-md5等）Auth_senderSMTP認(rèn)證后的sendersize郵件大小其他變化

未來(lái)考慮增加諸如信件MD5，更細(xì)化的特征傳遞等module1=fail/ok,reasonstring<NL>

moduleN=fail/ok,reasonstring<NL>

<NL>(v2.0結(jié)果格式)APF基本原理(4)判決結(jié)果V1.0V2.0action={4xx/5xx}reasontextlinkstatusbadhelo=DUNNOwhitelist=OKdnsbl=fail,blockedbybl.domain.tld,reason:[ip4addr]string..mspf=fail,{domain.tld}wasnotdesignate[ip4addr]..fakehelo=fail,reason:[fqdn]maybeforgeryfor[ip4addr]……應(yīng)用APF的典型例子S:logshow:client[]connected……

C:Helo

S:220ESMTP(NoSpam)C:mailfrom:<>S:250OkC:rcptto:<>

S:554Forgerysenderaddress!sendermxdoesnotmatchyouripaddress504<>Helocommandrejected:helonamedoesnotmatchyouripaddressclient_addresshelo_namesenderrecipient(APFv1.0)APF的優(yōu)勢(shì)綜合成本低結(jié)構(gòu)簡(jiǎn)單部署簡(jiǎn)便能靈活定制功能強(qiáng)大域名服務(wù)DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要安全問(wèn)題名字欺騙信息隱藏可信主機(jī)列表主機(jī)BIPB主機(jī)CIPC主機(jī)XIPX名字欺騙DBA（提供rlogin服務(wù)）DNS服務(wù)器Internet主機(jī)BIPB對(duì)應(yīng)記錄被惡意修改，例如對(duì)應(yīng)C的主機(jī)名請(qǐng)求連接驗(yàn)證通過(guò)，可以連接逆向DNS查詢結(jié)果主機(jī)CIPC請(qǐng)求連接驗(yàn)證通過(guò)解決域名服務(wù)安全性的辦法直接利用DNS軟件本身具備的安全特性來(lái)實(shí)現(xiàn)以防火墻/NAT為基礎(chǔ)，并運(yùn)用私有地址和注冊(cè)地址的概念DATA服務(wù)DATA服務(wù)器主要是存放數(shù)據(jù)庫(kù)兩個(gè)方面（以SQLServer為例）IDC的安全性使用NTFS分區(qū)給予用戶執(zhí)行日常任務(wù)所必需的最低等級(jí)的訪問(wèn)許可權(quán)強(qiáng)制執(zhí)行口令和登錄策略TCP/IP過(guò)濾防火墻及代理服務(wù)器SQL本身的安全性問(wèn)題SQLServer安全規(guī)劃驗(yàn)證方法選擇SQLServer的驗(yàn)證是把一組帳戶、密碼與Master數(shù)據(jù)庫(kù)Sysxlogins表中的一個(gè)清單進(jìn)行匹配

訪問(wèn)標(biāo)記是在驗(yàn)證過(guò)程中構(gòu)造出來(lái)的一個(gè)特殊列表，其中包含了用戶的SID（安全標(biāo)識(shí)號(hào)）以及一系列用戶所在組的SID1Web環(huán)境中的驗(yàn)證

第一種方法是為每一個(gè)網(wǎng)站和每一個(gè)虛擬目錄創(chuàng)建一個(gè)匿名用戶的NT帳戶

第二種方法是讓所有網(wǎng)站使用Basic驗(yàn)證第三種驗(yàn)證方法是在客戶端只使用IE5.0、IE4.0、IE3.0瀏覽器的情況下，在Web網(wǎng)站上和虛擬目錄上都啟用NT驗(yàn)證

第四種驗(yàn)證方法是如果用戶都有個(gè)人數(shù)字證書(shū)，你可以把那些證書(shū)映射到本地域的NT帳戶上

2設(shè)置全局組

控制數(shù)據(jù)訪問(wèn)權(quán)限最簡(jiǎn)單的方法是，對(duì)于每一組用戶，分別地為它創(chuàng)建一個(gè)滿足該組用戶權(quán)限要求的、域內(nèi)全局有效的組。除了面向特定應(yīng)用程序的組之外，我們還需要幾個(gè)基本組。基本組的成員負(fù)責(zé)管理服務(wù)器。創(chuàng)建了全局組之后，接下來(lái)我們可以授予它們?cè)L問(wèn)SQLServer的權(quán)限3數(shù)據(jù)庫(kù)訪問(wèn)控制在數(shù)據(jù)庫(kù)內(nèi)部，與迄今為止我們對(duì)登錄驗(yàn)證的處理方式不同，我們可以把權(quán)限分配給角色而不是直接把它們分配給全局組。這種能力使得我們能夠輕松地在安全策略中使用SQLServer驗(yàn)證的登錄。

4分配權(quán)限

實(shí)施安全策略的最后一個(gè)步驟是創(chuàng)建用戶定義的數(shù)據(jù)庫(kù)角色，然后分配權(quán)限。完成這個(gè)步驟最簡(jiǎn)單的方法是創(chuàng)建一些名字與全局組名字配套的角色

創(chuàng)建好角色之后就可以分配權(quán)限。在這個(gè)過(guò)程中，我們只需用到標(biāo)準(zhǔn)的GRANT、REVOKE和DENY命令

5簡(jiǎn)化安全管理

首選的方法應(yīng)該是使用NT驗(yàn)證的登錄，然后通過(guò)一些精心選擇的全局組和數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)訪問(wèn)簡(jiǎn)化安全策略的經(jīng)驗(yàn)規(guī)則：用戶通過(guò)SQLServerUsers組獲得服務(wù)器訪問(wèn)，通過(guò)DB_NameUsers組獲得數(shù)據(jù)庫(kù)訪問(wèn)用戶通過(guò)加入全局組獲得權(quán)限，而全局組通過(guò)加入角色獲得權(quán)限，角色直接擁有數(shù)據(jù)庫(kù)里的權(quán)限需要多種權(quán)限的用戶通過(guò)加入多個(gè)全局組的方式獲得權(quán)限。

首先你必須對(duì)操作系統(tǒng)進(jìn)行安全配置，保證你的操作系統(tǒng)處于安全狀態(tài)然后對(duì)你要使用的操作數(shù)據(jù)庫(kù)軟件（程序）進(jìn)行必要的安全審核，比如對(duì)ASP、PHP等腳本最后安裝SQLServer2000后請(qǐng)打上補(bǔ)丁SP以及最新的SP26SQL安全配置7SQL安全配置續(xù)（1）使用安全的密碼策略

使用安全的帳號(hào)策略加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄管理擴(kuò)展存儲(chǔ)過(guò)程使用協(xié)議加密7SQL安全配置續(xù)（2）不要讓人隨便探測(cè)到你的TCP/IP端口

修改TCP/IP使用的端口

拒絕來(lái)自1434端口的探測(cè)

對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制

Oracle數(shù)據(jù)庫(kù)安全策略數(shù)據(jù)庫(kù)備份所使用的結(jié)構(gòu)Oracle數(shù)據(jù)庫(kù)使用幾種結(jié)構(gòu)來(lái)保護(hù)數(shù)據(jù)：書(shū)庫(kù)后備、日志、回滾段和控制文件在線日志一個(gè)Oracle數(shù)據(jù)庫(kù)的每一實(shí)例有一個(gè)相關(guān)聯(lián)的在線日志。一個(gè)在線日志有多個(gè)在線日志文件組成歸檔日志Oracle要將填滿的在線日志文件組歸檔時(shí)，則要建立歸檔日志。Oracle數(shù)據(jù)庫(kù)安全策略續(xù)（1）Oracle的數(shù)據(jù)安全

邏輯備份

數(shù)據(jù)庫(kù)的邏輯備份包含讀一個(gè)數(shù)據(jù)庫(kù)記錄集和將記錄集寫入文件

物理備份

物理備份包含拷貝構(gòu)成數(shù)據(jù)庫(kù)的文件而不管其邏輯內(nèi)容.它分為脫機(jī)備份（offlinebackup）和聯(lián)機(jī)備份（onlinebackup）Oracle數(shù)據(jù)庫(kù)安全策略續(xù)（2）Oracle數(shù)據(jù)庫(kù)的角色管理通過(guò)驗(yàn)證用戶名稱和口令，防止非Oracle用戶注冊(cè)到Oracle數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法存取操作授予用戶一定的權(quán)限，限制用戶操縱數(shù)據(jù)庫(kù)的權(quán)力授予用戶對(duì)數(shù)據(jù)庫(kù)實(shí)體的存取執(zhí)行權(quán)限，阻止用戶訪問(wèn)非授權(quán)數(shù)據(jù)提供數(shù)據(jù)庫(kù)實(shí)體存取審計(jì)機(jī)制，使數(shù)據(jù)庫(kù)管理員可以監(jiān)視數(shù)據(jù)庫(kù)中數(shù)據(jù)的存取情況和系統(tǒng)資源的使用情況采用視圖機(jī)制，限制存取基表的行和列集合Oracle數(shù)據(jù)庫(kù)安全策略續(xù)（3）用戶角色管理對(duì)所有客戶端按工作性質(zhì)分類，分別授予不同的用戶角色對(duì)不同的用戶角色，根據(jù)其使用的數(shù)據(jù)源，分別授予不同的數(shù)據(jù)庫(kù)對(duì)象存取權(quán)限

遠(yuǎn)程登錄服務(wù)遠(yuǎn)程登錄服務(wù)是指通過(guò)某種端口協(xié)議為遠(yuǎn)程客戶端提供執(zhí)行系統(tǒng)命令的服務(wù)常見(jiàn)的遠(yuǎn)程登陸服務(wù)包括Telnet終端服務(wù)PcAnywhererloginSSH協(xié)議漏洞、服務(wù)程序漏洞等問(wèn)題Windows2000終端服務(wù)TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)實(shí)現(xiàn)終端服務(wù)不是使用HTTP或HTTPS的，而是通過(guò)RDP通道實(shí)現(xiàn)TS監(jiān)聽(tīng)端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默認(rèn))終端服務(wù)安全輸入法漏洞造成的威脅netuserabc123/addnetlocalgroupadministratorsabc/add注冊(cè)表DontDisplayLastUserName1針對(duì)TS的攻擊密碼猜測(cè)攻擊風(fēng)險(xiǎn)(TSGrinder)權(quán)限提升風(fēng)險(xiǎn)(PipeUpAdmin、GetAdmin)IME攻擊風(fēng)險(xiǎn)RDPDoS攻擊風(fēng)險(xiǎn)SMB服務(wù)--連接與驗(yàn)證過(guò)程ClientServer1.建立TCP連接2.客戶端類型、支持的服務(wù)方式列表等3.服務(wù)器認(rèn)證方式、加密用的key等4.用戶名、加密后密碼5.認(rèn)證結(jié)果隨機(jī)生成一把加密密鑰key(8或16字節(jié))采用DES的變形算法，使用key對(duì)密碼散列進(jìn)行加密SMB提供的服務(wù)SMB會(huì)話服務(wù)TCP139和TCP443端口SMB數(shù)據(jù)報(bào)支持服務(wù)UDP138和UDP445端口SMB名稱支持服務(wù)UDP137端口SMB通用命令支持服務(wù)開(kāi)放SMB服務(wù)的危險(xiǎn)SMB名稱類型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名稱列表1SMB名稱類型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名稱列表2強(qiáng)化SMB會(huì)話安全強(qiáng)制的顯式權(quán)限許可：限制匿名訪問(wèn)控制LANManager驗(yàn)證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊(cè)表Netbios的安全設(shè)置

取消綁定文件和共享綁定打開(kāi)控制面板－網(wǎng)絡(luò)－高級(jí)－高級(jí)設(shè)置選擇網(wǎng)卡并將Microsoft網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，禁止了139端口。注冊(cè)表修改HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\ParametersName:SMBDeviceEnabledType:REG_DWORDValue:0禁止445端口。禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做以下修改。

注：不正確地修改注冊(cè)表會(huì)導(dǎo)致嚴(yán)重的系統(tǒng)錯(cuò)誤，請(qǐng)慎重行事！

1．運(yùn)行注冊(cè)表編輯器（Regedt32.exe）。

2．定位在注冊(cè)表中的下列鍵上：

HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA

3．在編輯菜單欄中選取加一個(gè)鍵值：

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1（Windows2000下為2）

4．退出注冊(cè)表編輯器并重啟計(jì)算機(jī)，使改動(dòng)生效。Netbios的安全設(shè)置Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選0：None.Relyondefaultpermissions（無(wú)，取決于默認(rèn)的權(quán)限）1：DonotallowenumerationofSAMaccountsandshares（不允許枚舉SAM帳號(hào)和共享）2：Noaccesswithoutexplicitanonymouspermissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)）

Netbios的安全設(shè)置其他服務(wù)--Windows2000打印驅(qū)動(dòng)以fullcontrol權(quán)限運(yùn)行在OS級(jí)別面臨的主要威脅默認(rèn)情況下任何人都可以安裝打印驅(qū)動(dòng)通過(guò)配置組策略或直接修改注冊(cè)表攻擊者可能會(huì)使用木馬替換打印驅(qū)動(dòng)禁止和刪除服務(wù)通過(guò)services.msc禁止服務(wù)使用ResourceKit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請(qǐng)求服務(wù)和端口限制限制對(duì)外開(kāi)放的端口:在TCP/IP的高級(jí)設(shè)置中選擇只允許開(kāi)放特定端口，或者可以考慮使用路由或防火墻來(lái)設(shè)置。禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用terminalserver服務(wù)將不必要的服務(wù)設(shè)置為手動(dòng)

Alerter

ClipBook

ComputerBrowser……Linux服務(wù)Internet網(wǎng)絡(luò)服務(wù)的安全性FTP、WWW、MAIL等系統(tǒng)本身的安全性TCPWrapper、inetd、Xinetd等Intranet服務(wù)的安全性NFS、NIS等Linux網(wǎng)絡(luò)配置(1)Linux用daemon程序來(lái)提供網(wǎng)絡(luò)服務(wù)有些服務(wù)直接由daemon程序一直運(yùn)行有些服務(wù)通過(guò)inetd提供Inetd它的職責(zé)是監(jiān)聽(tīng)大范圍內(nèi)的網(wǎng)絡(luò)端口，根據(jù)進(jìn)來(lái)的請(qǐng)求動(dòng)態(tài)啟動(dòng)相應(yīng)的服務(wù)daemon——節(jié)約資源在Linux上，其實(shí)大多數(shù)inetd服務(wù)并不是必需的，雖然，這些服務(wù)本身有一定的安全認(rèn)證能力，但是為了安全起見(jiàn)，應(yīng)該關(guān)閉這些服務(wù)Linux網(wǎng)絡(luò)配置(2)配置xinetd編輯xinetd.conf

每行格式：<service_name><sock_type><proto><flags><user><server_path><args>通過(guò)/etc/services文件，可以查到每個(gè)service的端口和協(xié)議類型停止inetd進(jìn)程，并重新啟動(dòng)inetd.conf配置文件解讀inetd.conf文件tftpdgramudpwaitroot/usr/sbin/tcpdin.tftpd服務(wù)名稱SOCK類型使用的傳輸層協(xié)議標(biāo)志位，wait表示一次可處理多個(gè)請(qǐng)求服務(wù)以什么用戶身份運(yùn)行服務(wù)守護(hù)進(jìn)程位置參數(shù)TCPwrappersTCPwrapper使得系統(tǒng)可以在請(qǐng)求登錄或者輸入口令之前拒絕進(jìn)來(lái)的連接TCPwrapper的兩個(gè)配置文件/etc/hosts.deny——滿足條件則拒絕/etc/hosts.allow——滿足條件則允許配置規(guī)則：service:host(s)[::action]兩個(gè)工具tcpdchk,檢查配置文件有沒(méi)有錯(cuò)誤，是否與其他文件沖突tcpdmatch,模擬規(guī)則是否如期起作用Hosts.deny和Hosts.allow文件實(shí)現(xiàn)TCPWrapper的關(guān)鍵具有“server:client”的規(guī)則形式如果兩個(gè)文件都丟失，則相應(yīng)的訪問(wèn)總是被允許的如果沒(méi)有匹配項(xiàng)，則缺省總是被允許Hosts.deny/allow文件語(yǔ)法Service-list:Hosts-listALLUNKNOWNTelnetdFtpd……ALLUNKNOWNLOCALIPIP/maskXinetd(eXtendInterNETDaemon)作為inetd的高級(jí)替換版本，但和inetd完全不兼容語(yǔ)法完全不兼容本質(zhì)上是hosts.deny和hosts.allow、inetd.conf的組合，可以使用itox工具轉(zhuǎn)換常見(jiàn)與高版本Linux中擁有為數(shù)不少的優(yōu)點(diǎn)支持TCP、UDP、RPC等有效防止DoS，對(duì)堆棧作優(yōu)化限制同一類型的服務(wù)器數(shù)目可作代理Xinetd.conf文件語(yǔ)法serviceservice-name{Property1=…Property2+=…Property3-=…Property4=………}必須的關(guān)鍵字相關(guān)屬性必須包含在花括號(hào)中為屬性分配一個(gè)或多個(gè)值為屬性增加一個(gè)值為屬性取消一個(gè)值Xinetd.conf的defaults項(xiàng)提供了創(chuàng)建屬性默認(rèn)值的方法無(wú)需使用service關(guān)鍵字作前導(dǎo)舉例defaults

{Log_type=SYSLOGLog_on_success=PIDHOSTEXITDURATIONLog_on_failure=HOSTInstances=8Disabled=in.tftpdinrexecd}Xinetd.conf的servers項(xiàng)主要功能：查閱進(jìn)程的確切信息列表service

servers{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=9997Wait=noOnly_from=11Wait=no}在9997端口監(jiān)聽(tīng)來(lái)自11的列表請(qǐng)求，但不允許并發(fā)多個(gè)請(qǐng)求Xinetd.conf的Services項(xiàng)service

services{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=8099Wait=noOnly_from=topcat}在8099端口監(jiān)聽(tīng)來(lái)自topcat的列表請(qǐng)求，但不允許并發(fā)多個(gè)請(qǐng)求，給出信息就退出ApacheApache服務(wù)器它是Internet網(wǎng)上應(yīng)用最為廣泛的Web服務(wù)器軟件之一。Apache服務(wù)器源自美國(guó)國(guó)家超級(jí)技術(shù)計(jì)算應(yīng)用中心（NCSA）的Web服務(wù)器項(xiàng)目中。目前已在互聯(lián)網(wǎng)中占據(jù)了領(lǐng)導(dǎo)地位Apache服務(wù)器的主要安全缺陷使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denialofservice)緩沖區(qū)溢出攻擊被攻擊者獲得root權(quán)限的安全缺陷惡意的攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊正確維護(hù)和配置Apache服務(wù)器

ApacheWeb服務(wù)器主要有三個(gè)配置文件，位于/usr/local/apache/conf目錄httpd.conf>主配置文件srm.conf>填加資源文件access.conf>設(shè)置文件的訪問(wèn)權(quán)限Apache服務(wù)器的日志文件

使用日志格式指令來(lái)控制日志文件的信息。使用LogFormat“%a%l”指令，可以把發(fā)出HTTP請(qǐng)求瀏覽器的IP地址和主機(jī)名記錄到日志文件出于安全的考慮，在日志中至少應(yīng)該知道那些驗(yàn)證失敗的WEB用戶在http.conf文件中加入LogFormat"%401u"指令可以實(shí)現(xiàn)這個(gè)目的

Apache服務(wù)器的目錄安全認(rèn)證

在ApacheServer中是允許使用.htaccess做目錄安全保護(hù)的，欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。這樣可做為專門管理網(wǎng)頁(yè)存放的目錄或做為會(huì)員區(qū)等

？？？Apache服務(wù)器訪問(wèn)控制

access.conf文件，它包含一些指令控制允許什么用戶訪問(wèn)Apache目錄。應(yīng)該把denyfromall設(shè)為初始化指令，再使用allowfrom指令打開(kāi)訪問(wèn)權(quán)限Web服務(wù)的用戶身份認(rèn)證

Web服務(wù)器支持的驗(yàn)證方式基本驗(yàn)證的具體實(shí)現(xiàn)方法在Linux下用SSL構(gòu)建一個(gè)安全的Web用IIS建立高安全性Web服務(wù)器WEB安全性的綜合策略協(xié)議本身的安全性支持身份認(rèn)證BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web認(rèn)證BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的認(rèn)證一種雙向認(rèn)證模式：?jiǎn)蜗騎LS認(rèn)證+客戶提供名字/口令MicrosoftpassportBasicAuthenticationWeb服務(wù)器用戶名和密碼用戶名和密碼口令直接明文傳輸隱患：sniffer、中間代理、假冒的服務(wù)器DigestAccesAuthenticationChallenge-Response,不傳輸口令重放攻擊、中間人攻擊服務(wù)器端的口令管理策略WEB安全性的綜合策略(1)有些應(yīng)用使用SSL/TLS，為WebService申請(qǐng)一個(gè)證書(shū)WebServer往往是網(wǎng)絡(luò)攻擊的入口點(diǎn)為了提供WebService，必須要開(kāi)放端口和一些目錄，還要接受各種正常的連接請(qǐng)求防火墻對(duì)WebServer的保護(hù)是有限的WEB安全性的綜合策略(2)及時(shí)打上WebServer軟件廠商提供的補(bǔ)丁程序特別是一些主流的服務(wù)軟件，比如MS的IIS控制目錄和文件的權(quán)限Web應(yīng)用開(kāi)發(fā)人員注意在服務(wù)端的運(yùn)行代碼中，對(duì)于來(lái)自客戶端的輸入一定要進(jìn)行驗(yàn)證防止緩沖區(qū)溢出Web客戶端的安全性客戶端安全性涉及到Cookie的設(shè)置，保護(hù)用戶的隱私PKI設(shè)置，確定哪些是可信任的CA對(duì)可執(zhí)行代碼的限制，包括JavaApplet，ActiveXcontrol客戶瀏覽器的安全設(shè)置真的安全嗎我們有必要了解這些安全性FTP安全FTP的一些特性FTP的包過(guò)濾方式FTP服務(wù)形態(tài)FTP服務(wù)的安全性FTP服務(wù)器的安全配置FTP的特性與目標(biāo)促進(jìn)文件（程序或數(shù)據(jù)）的共享支持間接或隱式地使用遠(yuǎn)程計(jì)算機(jī)幫助用戶避開(kāi)主機(jī)上不同的可靠并有效地傳輸數(shù)據(jù)FTP的包過(guò)濾方式

FTP使用兩個(gè)獨(dú)立的TCP連接一個(gè)在服務(wù)器和客戶程序之間傳遞命令和結(jié)果（通常稱為命令通道）另一個(gè)用來(lái)傳送真實(shí)的文件和目錄列表（通常稱為數(shù)據(jù)通道）多數(shù)FTP服務(wù)器和客戶程序都支持“反向方式”或“PASV方式”FTP服務(wù)形態(tài)匿名服務(wù)（AnonymousService）FTP代理：允許第三方文件傳輸針對(duì)FTP的攻擊FTP跳轉(zhuǎn)攻擊無(wú)訪問(wèn)控制密碼截獲端口盜用Wu-ftp的配置文件

/etc//etc//etc//etc//etc//etc/#catroothenrytestJacky-zhuroot、henry、test、Jacky-zhu用戶不能ftp登陸該文件夾中包含的用戶不能通過(guò)FTP登錄服務(wù)器，有時(shí)將需要禁止的用戶賬號(hào)寫入文件/etc/中，這樣就可以禁止一些用戶使用FTP服務(wù)/etc/

:.Z:::/bin/compress-d-c%s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS:::.Z:/bin/compress-c%s:T_REG:O_COMPRESS:COMPRESS:.gz:::/bin/gzip-cd%s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP:::.gz:/bin/gzip-9-c%s:T_REG:O_COMPRESS:GZIP:::.tar:/bin/tar-c-f-%s:T_REG|T_DIR:O_TAR:TAR:::.tar.Z:/bin/tar-c-Z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS:::.tar.gz:/bin/tar-c-z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP:::.crc:/bin/cksum%s:T_REG::CKSUM:::.md5:/bin/md5sum%s:T_REG::MD5SUM用來(lái)配置壓縮/解壓縮程序/etc/文件(1)classallreal,guest,anonymous*limitall10Any/etc/msgs/msg.deadreadmeREADME*loginreadmeREADME*cwd=*message/welcome.msgloginmessage.messagecwd=*compressyesalltaryesalllogcommandsreallogtransfersanonymous,realinbound,outboundshutdown/etc/shutmsgemailuser@hostnameWu-ftpd的三種ftp登錄方式包括的主要內(nèi)容：1.class[…]類定義與控制2.limit[…]限制控制3.deny[…]否決控制4.byte-limi