應(yīng)用服務(wù)的安全課件

介紹信息安全技術(shù)專家崗位資格技能認證培訓(xùn)中華人民共和國勞動與社會保障部職業(yè)資格認證國家信息安全培訓(xùn)認證管理中心主任勞動與社會保障部國家督導(dǎo)、高級考評員信息產(chǎn)業(yè)部信息化與電子政務(wù)專家盛鴻宇副研究員e_gov@第六章應(yīng)用服務(wù)的安全網(wǎng)絡(luò)環(huán)境中多樣化的應(yīng)用多樣化的應(yīng)用需要什么？安全的通信、交易環(huán)境信息安全應(yīng)用需要什么保護？物理（硬件安全）數(shù)據(jù)安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全身份認證通信雙方能互相驗證對方的身份，確認對方確實是他所聲明的身份。我是田景成，你是網(wǎng)上銀行服務(wù)器嗎？嗨，我是網(wǎng)上銀行服務(wù)器。你真的是田景成嗎？你真的是網(wǎng)上銀行服務(wù)器嗎？業(yè)務(wù)服務(wù)器田景成數(shù)據(jù)保密通信雙方傳送的信息需要保密，只有他們自己知道。他們需要說“悄悄話”。我需要轉(zhuǎn)帳，這是我的帳號和密碼。業(yè)務(wù)服務(wù)器田景成帳號：1234567890

密碼：8888888成景田數(shù)據(jù)完整性通信雙方應(yīng)能檢測出信息在傳輸途中是否被篡改。轉(zhuǎn)帳200萬到關(guān)曉陽的帳號。業(yè)務(wù)服務(wù)器田景成成景田轉(zhuǎn)帳100萬到關(guān)曉陽的帳號，轉(zhuǎn)帳100萬到成景田的帳號。篡改應(yīng)用服務(wù)具體劃分Web服務(wù)FTP服務(wù)Mail服務(wù)域名服務(wù)Data服務(wù)SMB服務(wù)遠程登錄服務(wù)終端服務(wù)其他服務(wù)Web服務(wù)靜態(tài)腳本服務(wù)/動態(tài)腳本服務(wù)腳本很可能就成為獲得信息的非正當?shù)姆?wù)腳本W(wǎng)ebService微軟提出三層應(yīng)用的關(guān)鍵技術(shù)，是三層結(jié)構(gòu)中客戶端和系統(tǒng)服務(wù)搭建橋梁的中間層應(yīng)用服務(wù)控件（中間件）基本HTTP請求“”等價于HTTP命令“GET/HTTP/1.0”CGI調(diào)用“+var2”表示將var1和var2提交給cgi.exe(“+”是分隔符)ASP調(diào)用

表示將X、Y分別作為兩個變量提交Web結(jié)構(gòu)client/server結(jié)構(gòu)，屬于瘦客戶類型Browser/Server,客戶為瀏覽器，服務(wù)器為WebServer通常是多層(或三層)結(jié)構(gòu)中的第一層在Web應(yīng)用中，WebServer后面常常與數(shù)據(jù)庫打交道Web結(jié)構(gòu)B/S之間的通訊協(xié)議：HTTPHTTP位于TCP之上，默認的端口為80客戶發(fā)出對頁面的請求，服務(wù)器送回這些頁面Web頁面的表述和交互能力各種標記、超鏈接，…交互功能：表單、腳本交互能力的擴展：JavaApplet,ActiveX,…Web服務(wù)安全問題歸納服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了公開訪問的區(qū)域服務(wù)器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)主要漏洞提供了不應(yīng)該提供的服務(wù)把私有數(shù)據(jù)放到了公開訪問區(qū)域信賴了來自不可信數(shù)據(jù)源的數(shù)據(jù)物理路徑泄露、CGI源代碼泄露、目錄遍歷、執(zhí)行任意命令、緩沖區(qū)溢出、拒絕服務(wù)、條件競爭和跨站腳本執(zhí)行漏洞

Web服務(wù)器漏洞的解釋目錄遍歷

執(zhí)行任意命令

緩沖區(qū)溢出

拒絕服務(wù)

條件競爭

物理路徑泄露

Web服務(wù)器處理用戶請求出錯導(dǎo)致的，或某些顯示環(huán)境變量的程序錯誤輸出

IIS二次解碼漏洞和Unicode解碼漏洞

通過解碼漏洞或SSI指令解析來執(zhí)行系統(tǒng)命令超長URL，超長HTTPHeader域，或者是其它超長的數(shù)據(jù)Web服務(wù)器在處理特殊請求時不知所措或處理方式不當，因此出錯終止或掛起

沒有臨時文件的屬性進行檢查IIS安全漏洞Null.htw漏洞MDAC執(zhí)行本地命令漏洞“.htr”問題IIS緩沖溢出ISM.DLL緩沖截斷漏洞IIS存在的Unicode解析錯誤漏洞……Codebrws.asp

Showcode.asp

Null.htw

以上四個漏洞均可以察看文件源代碼IIS服務(wù)泄露源代碼webhits.dll&.htwASPDotBug在請求的URL結(jié)尾追加一個或者多個點導(dǎo)致泄露ASP源代碼。.ISM.DLL允許攻擊者查看任意文件內(nèi)容和源代碼.idc&.idaBugs

這個漏洞實際上類似ASPdot漏洞，其能在IIS4.0上顯示其WEB目錄信息，很奇怪的說有些還在IIS5.0上發(fā)現(xiàn)過此類漏洞，通過增加?idc?或者?ida?后綴到URL會導(dǎo)致IIS嘗試允許通過數(shù)據(jù)庫連接程序.DLL來運行.IDC，如果.idc不存在，它就返回一些信息給客戶端。IIS服務(wù)泄露源代碼IIS4.0中包含一個有趣的特征就是允許遠程用戶攻擊WEB服務(wù)器上的用戶帳號，就是你的WEB服務(wù)器是通過NAT來轉(zhuǎn)換地址的，還可以被攻擊。./iisadmpwd存在OFFICE2000和FRONTPAGE2000ServerExtensions中的WebDAV中，當有人請求一個ASP/ASA后者其他任意腳本的時候在HTTPGET加上Translate:f后綴，并在請求文件后面加/就會顯示文件代碼，當然在沒有打WIN2KSP1補丁為前提。這個是W2K的漏洞，但由于FP2000也安裝在IIS4.0上，所以在IIS4.0上也有這個漏洞。利用程序:trasn1.pl,trans2.plTranslate:fBug泄露asp文件源代碼IIS的Unicode問題問題產(chǎn)生的要義“%c0%af”和“%c1%9c”分別是“/”“\”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等對策安裝MS00-086中的補丁由于沒有實現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS設(shè)置嚴格的NTFS權(quán)限在服務(wù)器的Write和ExcuteACL中刪除Everyone和User組更近一步雙解碼/二次解碼同樣由NSFocus發(fā)布對策：應(yīng)用MS01-26給出的補丁(不包括在sp2中)注意和Unicode的區(qū)別，包括相關(guān)日志GET/scripts/..%255c..255c%winnt/system32/cmd.exeIIs4hack緩沖溢出主要存在于.htr,.idc和.stm文件中，其對關(guān)于這些文件的URL請求沒有對名字進行充分的邊界檢查，導(dǎo)致運行攻擊者插入一些后門程序在系統(tǒng)中下載和執(zhí)行程序。IIS溢出問題IPP(InternetPrintingProtocol)緩沖區(qū)溢出(IPP是處理.printer文件的C:\winnt\system32\msw3prt.dll)當以下調(diào)用超過420字節(jié)時，問題就會發(fā)生對策：刪除DLL和文件擴展之間的映射GET/NULL.printerHTTP/1.0Host:[buffer]刪除DLL和文件擴展之間的映射IIS溢出問題索引服務(wù)ISAPI擴展溢出(通常被稱為ida/idq溢出)由idq.dll引起，當buffer長度超過240字節(jié)時，問題就會發(fā)生Null.ida為文件名，無需真的存在直至現(xiàn)在上沒有漏洞利用代碼CodeRed的感染途徑對策：刪除idq.dll和文件擴展之間的映射GET/NULL.ida?HTTP/1.1Host:[buffer]IIS溢出問題Frontpage2000服務(wù)擴展溢出最早由NSFocus(中國安全研究小組)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions問題焦點是fp30reg.dll和fp4areg.dll(后者默認總是提供的)收到超過258字節(jié)的URL請求時，問題就會出現(xiàn)漏洞利用工具：fpse2000ex對策：刪除fp30reg.dll和fp4areg.dll文件IIS的其它問題源代碼泄漏的危險.htr風(fēng)險.htw/webhits風(fēng)險權(quán)限提升的問題遠程調(diào)用RevertToself的ISAPIDLL向LSA本地注射代碼CGI安全問題歸納暴露敏感或不敏感信息缺省提供的某些正常服務(wù)未關(guān)閉利用某些服務(wù)漏洞執(zhí)行命令應(yīng)用程序存在遠程溢出非通用CGI程序的編程漏洞具體的CGI安全問題配置錯誤邊界條件錯誤訪問驗證錯誤來源驗證錯誤輸入驗證錯誤意外情況處理失敗策略錯誤習(xí)慣問題使用錯誤CGI安全保證保持服務(wù)器安全正確安裝CGI程序，刪除不必要的安裝文件和臨時文件使用安全的函數(shù)使用安全有效的驗證用戶身份的方法驗證用戶來源，防止用戶短時間內(nèi)過多動作推薦過濾特殊字符處理好意外情況實現(xiàn)功能時制定安全合理的策略培養(yǎng)良好的編程習(xí)慣避免“想當然”的錯誤定期使用CGI漏洞檢測工具ASP的安全性Code.asp文件會泄漏ASP代碼組件篡改下載FAT分區(qū)上的任何文件的漏洞輸入標準的HTML語句或者JavaScript語句會改變輸出結(jié)果AccessMDB數(shù)據(jù)庫有可能被下載的漏洞asp程序密碼驗證漏洞(1)為你的數(shù)據(jù)庫文件名稱起個復(fù)雜的非常規(guī)的名字，并把他放在非常規(guī)目錄下。(2)不要把數(shù)據(jù)庫名寫在程序中。(3)使用ACCESS來為數(shù)據(jù)庫文件編碼及加密。防止Access數(shù)據(jù)庫被下載防止Access數(shù)據(jù)庫被下載常見措施：配置安全的IIS運行環(huán)境

作為運行在WindowsNT操作系統(tǒng)環(huán)境下的IIS，其安全性也應(yīng)建立在WindowsNT安全性的基礎(chǔ)之上。1.應(yīng)用NTFS文件系統(tǒng)2.文件夾共享權(quán)限的修改3.為系統(tǒng)管理員賬號更名4.取消TCP/IP上的NetBIOS綁定設(shè)置IIS的安全機制一1.安裝時應(yīng)注意的安全問題（1）避免安裝在主域控制器上（2）避免安裝在系統(tǒng)分區(qū)上2.用戶控制的安全性（1）限制匿名用戶的訪問

（2）一般用戶通過使用數(shù)字與字母（包括大小寫）結(jié)合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶賬戶進行管理。3.登錄認證的安全性IIS服務(wù)器提供對用戶三種形式的身份認證：匿名訪問：不需要與用戶之間進行交互，允許任何人匿名訪問站點，在這三種身份認證中的安全性是最低的。

基本（Basic）驗證：在此方式下用戶輸入的用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，沒有任何加密，非法用戶可以通過網(wǎng)上監(jiān)聽來攔截數(shù)據(jù)包，并從中獲取用戶名及密碼，安全性能一般。

WindowsNT請求/響應(yīng)方式：瀏覽器通過加密方式與IIS服務(wù)器進行交流，有效地防止了竊聽者，是安全性比較高的認證形式。設(shè)置IIS的安全機制二4.訪問權(quán)限控制（1）文件夾和文件的訪問權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對其權(quán)限加以控制，對不同的用戶組和用戶進行不同的權(quán)限設(shè)置；另外，還可利用NTFS的審核功能對某些特定用戶組成員讀文件的企圖等方面進行審核，有效地通過監(jiān)視如文件訪問、用戶對象的使用等發(fā)現(xiàn)非法用戶進行非法活動的前兆，及時加以預(yù)防制止。（2）WWW目錄的訪問權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過操作Web站點屬性頁實現(xiàn)對WWW目錄訪問權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全性。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限，允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權(quán)限，允許用戶運行WWW目錄下的程序和腳本。設(shè)置IIS的安全機制三5.IP地址的控制IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請求，有選擇地允許特定節(jié)點的用戶訪問服務(wù)，你可以通過設(shè)置來阻止除指定IP地址外的整個網(wǎng)絡(luò)用戶來訪問你的Web服務(wù)器。6.端口安全性的實現(xiàn)可以通過修改端口號來提高IIS服務(wù)器的安全性，如果你修改了端口設(shè)置，只有知道端口號的用戶才可以訪問。7.禁止IP轉(zhuǎn)發(fā)功能提高服務(wù)的安全性8.啟用SSL安全機制加強Web服務(wù)的安全性

設(shè)置IIS的安全機制四提高IIS的安全性和穩(wěn)定性一限制在web服務(wù)器開帳戶，定期刪除一些斷進程的用戶。對在web服務(wù)器上開的帳戶，在口令長度及定期更改方面作出要求，防止被盜用。

盡量使ftp，mail等服務(wù)器與之分開，去掉ftp，mail，tftp，NIS，NFS，finger，netstat等一些無關(guān)的應(yīng)用。

在web服務(wù)器上去掉一些絕對不用的shell等之類解釋器，即當在你的cgi的程序中沒用到perl時，就盡量把perl在系統(tǒng)解釋器中刪除掉。

有些WEB服務(wù)器把WEB的文檔目錄與FTP目錄指在同一目錄時，應(yīng)該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。設(shè)置好web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性，對可讓人訪問的文檔分配一個公用的組如：www，并只分配它只讀的權(quán)利。對于WEB的配置文件僅對WEB管理員有寫的權(quán)利。

定期查看服務(wù)器中的日志logs文件，分析一切可疑事件。通過限制許可訪問用戶IP或DNS提高ISS的安全性和穩(wěn)定性二IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序

示例只是示例；在默認情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從

或訪問；但是，它們?nèi)詰?yīng)被刪除。下面列出一些示例的默認位置。示例虛擬目錄位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文檔\IISHelpc:\winnt\help\iishelp

數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc

禁用或刪除不需要的COM組件某些COM組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除Dictionary對象。切記某些程序可能需要您禁用的組件。如SiteServer3.0使用Object。以下命令將禁用Object：regsvr32scrrun.dll/u刪除IISADMPWD虛擬目錄該目錄可用于重置WindowsNT和Windows2000密碼。它主要用于Intranet情況下，并不作為IIS5的一部分安裝，但是IIS4服務(wù)器升級到IIS5時，它并不刪除。如果您不使用Intranet或如果將服務(wù)器連接到Web上，則應(yīng)將其刪除。IIS服務(wù)安全配置刪除無用的腳本映射

IIS被預(yù)先配置為支持常用的文件名擴展如.asp和.shtm文件。IIS接收到這些類型的文件請求時，該調(diào)用由DLL處理。如果您不使用其中的某些擴展或功能，則應(yīng)刪除該映射，步驟如下：

打開Internet服務(wù)管理器。右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。主目錄|配置|刪除無用的.htr.ida.idq.printer.idc.stm.shtml等IIS服務(wù)安全配置禁用父路徑

“父路徑”選項允許在對諸如MapPath

函數(shù)調(diào)用中使用“..”。禁用該選項的步驟如下：

右鍵單擊該Web站點的根，然后從上下文菜單中選擇“屬性”。單擊“主目錄”選項卡。單擊“配置”。單擊“應(yīng)用程序選項”選項卡。取消選擇“啟用父路徑”復(fù)選框。禁用-內(nèi)容位置中的IP地址

IIS4里的“內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部IP地址。IIS服務(wù)安全配置IIS服務(wù)安全配置設(shè)置適當?shù)腎IS日志文件ACL

確保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)

這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。

設(shè)置適當?shù)奶摂M目錄的權(quán)限

確保IIS虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄。

將IIS目錄重新定向

更改系統(tǒng)默認路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置。使用專門的安全工具

微軟的IIS安全設(shè)置工具：IISLockTool；是針對IIS的漏洞設(shè)計的，可以有效設(shè)置IIS安全屬性。Web服務(wù)的用戶身份認證

Web服務(wù)器支持的驗證方式基本驗證的具體實現(xiàn)方法用IIS建立高安全性Web服務(wù)器WEB安全性的綜合策略協(xié)議本身的安全性支持身份認證BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web認證BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的認證一種雙向認證模式：單向TLS認證+客戶提供名字/口令MicrosoftpassportBasicAuthenticationWeb服務(wù)器用戶名和密碼用戶名和密碼口令直接明文傳輸隱患：sniffer、中間代理、假冒的服務(wù)器DigestAccesAuthenticationChallenge-Response,不傳輸口令重放攻擊、中間人攻擊服務(wù)器端的口令管理策略WEB安全性的綜合策略有些應(yīng)用使用SSL/TLS，為WebService申請一個證書WebServer往往是網(wǎng)絡(luò)攻擊的入口點為了提供WebService，必須要開放端口和一些目錄，還要接受各種正常的連接請求防火墻對WebServer的保護是有限的WEB安全性的綜合策略及時打上WebServer軟件廠商提供的補丁程序特別是一些主流的服務(wù)軟件，比如MS的IIS控制目錄和文件的權(quán)限Web應(yīng)用開發(fā)人員注意在服務(wù)端的運行代碼中，對于來自客戶端的輸入一定要進行驗證防止緩沖區(qū)溢出Web客戶端的安全性客戶端安全性涉及到Cookie的設(shè)置，保護用戶的隱私PKI設(shè)置，確定哪些是可信任的CA對可執(zhí)行代碼的限制，包括JavaApplet，ActiveXcontrol客戶瀏覽器的安全設(shè)置真的安全嗎我們有必要了解這些安全性FTP服務(wù)文件傳輸協(xié)議(Protocol，F(xiàn)TP)FTP服務(wù)通常被攻擊者上傳后門程序文件到主機，然后通過種種方式轉(zhuǎn)移成為激活的后門注意：資源共享和權(quán)限控制矛盾的存在FTP安全FTP的一些特性FTP的包過濾方式FTP服務(wù)形態(tài)FTP服務(wù)的安全性FTP服務(wù)器的安全配置FTP的特性與目標促進文件（程序或數(shù)據(jù)）的共享支持間接或隱式地使用遠程計算機幫助用戶避開主機上不同的可靠并有效地傳輸數(shù)據(jù)FTP的包過濾方式

FTP使用兩個獨立的TCP連接一個在服務(wù)器和客戶程序之間傳遞命令和結(jié)果（通常稱為命令通道）另一個用來傳送真實的文件和目錄列表（通常稱為數(shù)據(jù)通道）多數(shù)FTP服務(wù)器和客戶程序都支持“反向方式”或“PASV方式”FTP服務(wù)形態(tài)匿名服務(wù)（AnonymousService）FTP代理：允許第三方文件傳輸針對FTP的攻擊FTP跳轉(zhuǎn)攻擊無訪問控制密碼截獲端口盜用一、取消匿名訪問功能二、啟用日志記錄FTP服務(wù)器日志記錄著所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務(wù)器的穩(wěn)定運行具有很重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時排除。因此一定要啟用FTP日志記錄。

普通FTP服務(wù)器的安全配置一三、正確設(shè)置用戶訪問權(quán)限四、啟用磁盤配額，限制FTP存儲空間

五、TCP/IP訪問限制，拒絕或只允許某些IP地址的訪問。六、合理設(shè)置組策略

1.審核賬戶登錄事件2.增強賬號密碼的復(fù)雜性

3.賬號登錄限制

普通FTP服務(wù)器的安全配置二一、對“本地服務(wù)器”進行設(shè)置1.選中“攔截ＦＴＰ＿ｂｏｕｎｃｅ攻擊和ＦＸＰ”Ｓｅｒｖ－Ｕ的安全性設(shè)置當使用ＦＴＰ協(xié)議進行文件傳輸時，客戶端首先向ＦＴＰ服務(wù)器發(fā)出一個“ＰＯＲＴ”命令，該命令中包含此用戶的ＩＰ地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔?，服?wù)器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下，上述過程不會出現(xiàn)任何問題，但當客戶端是一名惡意用戶時，可能會通過在ＰＯＲＴ命令中加入特定的地址信息，使ＦＴＰ服務(wù)器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器，但是如果ＦＴＰ服務(wù)器有權(quán)訪問該機器的話，那么惡意用戶就可以通過ＦＴＰ服務(wù)器作為中介，仍然能夠最終實現(xiàn)與目標服務(wù)器的連接。這就是ＦＸＰ，也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。在“高級”選項卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒有，選擇它們。“加密密碼”使用單向ｈａｓｈ函數(shù)（ＭＤ５）加密用戶口令，加密后的口令保存在ＳｅｒｖＵＤａｅｍｏｎ．ｉｎｉ或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中；“啟用安全”將啟動Ｓｅｒｖ－Ｕ服務(wù)器的安全成功。2.檢查“加密密碼”和“啟用安全”是否被選中。二、對域中的服務(wù)器進行設(shè)置Ｓｅｒｖ－Ｕ對每個賬戶的密碼都提供了以下三種安全類型：規(guī)則密碼、ＯＴＰＳ／ＫＥＹＭＤ４和ＯＴＰＳ／ＫＥＹＭＤ５。不同的類型對傳輸?shù)募用芊绞揭膊煌砸?guī)則密碼安全性最低。進入擁有一定管理權(quán)限的賬戶的設(shè)置中，在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。注意，當用戶憑此賬戶登錄服務(wù)器時，需要ＦＴＰ客戶端軟件支持此密碼類型，如ＣｕｔｅＦＴＰＰｒｏ等，輸入密碼時選擇相應(yīng)的密碼類型方可通過服務(wù)器驗證。1.選擇合適的密碼類型Ｓｅｒｖ－Ｕ的安全性設(shè)置二2.謹慎設(shè)置主目錄及其權(quán)限凡是沒必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的，盡量不要賦予。

3.開啟日志，并經(jīng)常檢查

在“日志”選項卡中將“啟用記錄到文件”選中，并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等，以方便隨時查詢服務(wù)器異常原因。Solaris操作系統(tǒng)FTP漏洞該方法利用了Solaris操作系統(tǒng)中FTPD的一個BUG，使得用戶可以獲得該機的口令文件。具體過程如下：1.通過ftp正常登錄到目的主機上2.輸入如下命令序列：ftp>userrootwrongpasswdftp>quotepasv3.這時，ftpd會報錯退出，同時會在當前目錄下生成一個core，口令文件就包含在這個core中。4.再次進入FTP>getcoreMail服務(wù)SMTP和POP、IMAP都存在一定的問題從兩方面理解：協(xié)議和服務(wù)端程序尤其以SMTP為討論重點Mail服務(wù)是一種不安全的服務(wù)，因為它必須接受來自Internet的幾乎所有數(shù)據(jù)走進MS客戶端客戶端風(fēng)險評估惡意電子郵件MIME擴展Outlook緩沖區(qū)溢出MediaPlay緩沖區(qū)溢出VBS地址簿蠕蟲惡意郵件實例HeloMailfroam:Rcptto:DataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的開放SMTP郵件中繼此處可以添加惡意客戶端腳本通過下列命令執(zhí)行：Typemail.txt|telnetIP25Outlook溢出起源于vCard(一種電子名片)Outlook直接打開并運行附件中的vCards而不提示用戶vCards存儲于.vcf文件中，也是沒有提示而直接運行的當vCards的生日字段(BDAY)超過55字符時，就會出現(xiàn)溢出對策：應(yīng)用IE5.5sp2媒體元文件<ASXVersion=“3.0”><Entry><refHREF=“path”/></Entry></ASX>問題所在帶有超長path值的.asx文件試圖自動瀏覽時，會導(dǎo)致資源管理器崩潰；另外，可以向path寫入適當代碼垃圾郵件泛濫成災(zāi)！2003年及2004年垃圾郵件異常猖狂垃圾郵件層出不窮形如用特殊字符分隔單詞將文字保存在圖片里html格式等反垃圾郵件軟件依然不足人工智能算法/DNA算法實現(xiàn)依然復(fù)雜目前識別技術(shù)無法與人腦相比基于內(nèi)容過濾的算法（如Bayes）對中文的處理能力依然薄弱。垃圾郵件大量充斥著郵件隊列！通信中斷！損失大量合作機會！耗費大量網(wǎng)絡(luò)資源，年損失幾百億美元！我們需要便宜、有效的手段遏止Spam!NOSPAM！什么技術(shù)可以勝任？成本低部署易效能好APFcan!APF定義APF=AntispamPolicyFramework

是一種利用綜合策略分析SMTP信息，主要用于對付垃圾郵件的一套框架。

APS=APFService/System

主要以Client/Server模式對外提供APF完整支持的服務(wù)體系，模式類似于RBL/DNS。為什么設(shè)計APF?RBL命中率不足，誤判，即時性不夠SPF依然是Draft，國內(nèi)推廣困難現(xiàn)有技術(shù)/框架使用部署成本很高內(nèi)容過濾技術(shù)仍不足，有待改進分析發(fā)現(xiàn)SMTP階段就可識別UCERBL的不足RBL屬于被動還擊類技術(shù)99%的RBL都是國外組織維護中國IP被封殺嚴重準確率不夠，易誤殺面臨IPV6問題SPF的不足SPF依然是草案(Draft)用戶對SPF認知極其有限SPF涉及DNS修改，部署起來工程浩大國內(nèi)絕大部分域名一定時期內(nèi)都無法實施SPF域名注冊/管理商不提供SPF支持反垃圾郵件部署成本高企業(yè)自力開發(fā)/實施技術(shù)人員AntiSpam經(jīng)驗豐富綜合利用多種技術(shù)管控整個團隊，耗時耗力購買軟/硬件部署專用商業(yè)軟/硬件非常昂貴!使用復(fù)雜且定制困難內(nèi)容過濾技術(shù)仍需改進Bayes算法基于規(guī)則匹配加權(quán)類DNA遺傳算法分析發(fā)現(xiàn)SMTP階段就可識別UCE垃圾郵件樣本分析

結(jié)果：基于SMTP特征的準確率較內(nèi)容過濾（使用SpamAssassin及自定義的規(guī)則）要高。

特征例子偽造來信人(Sender)來自O(shè)pen-relay主機正文變化多端，但都來自同一個ip地址某個時段發(fā)送大量郵件信頭缺失或不符合RFC統(tǒng)計分析結(jié)果(3-10月)UCE的SMTP特征缺乏必需信頭的信件(Header-lacking)不符合RFC中關(guān)于電子郵件規(guī)定的信件（RFC-ignorant）錯誤的信件標記信息（Header-forgery）同樣內(nèi)容發(fā)送頻率（Abnormal-rate）過高的信件。APF設(shè)計宗旨APF在設(shè)計過程中遵循了如下原則:集中/半集中式C/S數(shù)據(jù)交換結(jié)構(gòu)難度適中的實現(xiàn)技術(shù)+良好的構(gòu)思使用20%的精力去對付80%的Spam盡量使用現(xiàn)成的優(yōu)秀自由軟件方案/技術(shù)降低使用難度，提供盡可能高的靈活性APF基本原理(1)三大部分構(gòu)成

MTA

APF客戶端

APF服務(wù)端

(淺蘭色標記）

典型的Client/Server結(jié)構(gòu)主要運算/處理負載交給APF服務(wù)端客戶端非常簡單APF基本原理(2)V1.0APF服務(wù)端軟件流水線串行工作任一異常即跳出缺點：只獲得某個模塊的判決結(jié)果不能綜合判斷APF基本原理(2)V2.0APF服務(wù)端改進模塊處理相互獨立處理結(jié)果最后匯總相互結(jié)果不影響優(yōu)點可進行加權(quán)用戶高度定制結(jié)果便于綜合分析APF基本原理(3)V1.0協(xié)議

標簽名描述(綠色為目前支持)request目前只支持一個值：smtpd_access_policyprotocol_state可能的值：CONNECT,EHLO,HELO,MAIL,RCPT,DATA,VRFY,ETRNprotocol_name可能的值：ESMTP或SMTPhelo_nameSMTP客戶端的主機名senderMAILFROM階段的來信人地址recipientRCPTTO階段的收件人地址client_addressSMTP客戶端的ip地址client_nameSMTP客戶端ip地址反解（PTR）APF基本原理(3)V2.0協(xié)議

增補了一些新的屬性名及策略調(diào)整標簽名描述Result_type有效值：USRDFTADVOLDAuth_userSMTP認證的用戶名Auth_methodSMTP認證的方法（plain,cram-md5等）Auth_senderSMTP認證后的sendersize郵件大小其他變化

未來考慮增加諸如信件MD5，更細化的特征傳遞等module1=fail/ok,reasonstring<NL>

moduleN=fail/ok,reasonstring<NL>

<NL>(v2.0結(jié)果格式)APF基本原理(4)判決結(jié)果V1.0V2.0action={4xx/5xx}reasontextlinkstatusbadhelo=DUNNOwhitelist=OKdnsbl=fail,blockedbybl.domain.tld,reason:[ip4addr]string..mspf=fail,{domain.tld}wasnotdesignate[ip4addr]..fakehelo=fail,reason:[fqdn]maybeforgeryfor[ip4addr]……應(yīng)用APF的典型例子S:logshow:client[]connected……

C:Helo

S:220ESMTP(NoSpam)C:mailfrom:<>S:250OkC:rcptto:<>

S:554Forgerysenderaddress!sendermxdoesnotmatchyouripaddress504<>Helocommandrejected:helonamedoesnotmatchyouripaddressclient_addresshelo_namesenderrecipient(APFv1.0)APF的優(yōu)勢綜合成本低結(jié)構(gòu)簡單部署簡便能靈活定制功能強大域名服務(wù)DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要安全問題名字欺騙信息隱藏可信主機列表主機BIPB主機CIPC主機XIPX名字欺騙DBA（提供rlogin服務(wù)）DNS服務(wù)器Internet主機BIPB對應(yīng)記錄被惡意修改，例如對應(yīng)C的主機名請求連接驗證通過，可以連接逆向DNS查詢結(jié)果主機CIPC請求連接驗證通過解決域名服務(wù)安全性的辦法直接利用DNS軟件本身具備的安全特性來實現(xiàn)以防火墻/NAT為基礎(chǔ)，并運用私有地址和注冊地址的概念DATA服務(wù)DATA服務(wù)器主要是存放數(shù)據(jù)庫兩個方面（以SQLServer為例）IDC的安全性使用NTFS分區(qū)給予用戶執(zhí)行日常任務(wù)所必需的最低等級的訪問許可權(quán)強制執(zhí)行口令和登錄策略TCP/IP過濾防火墻及代理服務(wù)器SQL本身的安全性問題SQLServer安全規(guī)劃驗證方法選擇SQLServer的驗證是把一組帳戶、密碼與Master數(shù)據(jù)庫Sysxlogins表中的一個清單進行匹配

訪問標記是在驗證過程中構(gòu)造出來的一個特殊列表，其中包含了用戶的SID（安全標識號）以及一系列用戶所在組的SID1Web環(huán)境中的驗證

第一種方法是為每一個網(wǎng)站和每一個虛擬目錄創(chuàng)建一個匿名用戶的NT帳戶

第二種方法是讓所有網(wǎng)站使用Basic驗證第三種驗證方法是在客戶端只使用IE5.0、IE4.0、IE3.0瀏覽器的情況下，在Web網(wǎng)站上和虛擬目錄上都啟用NT驗證

第四種驗證方法是如果用戶都有個人數(shù)字證書，你可以把那些證書映射到本地域的NT帳戶上

2設(shè)置全局組

控制數(shù)據(jù)訪問權(quán)限最簡單的方法是，對于每一組用戶，分別地為它創(chuàng)建一個滿足該組用戶權(quán)限要求的、域內(nèi)全局有效的組。除了面向特定應(yīng)用程序的組之外，我們還需要幾個基本組?；窘M的成員負責(zé)管理服務(wù)器。創(chuàng)建了全局組之后，接下來我們可以授予它們訪問SQLServer的權(quán)限3數(shù)據(jù)庫訪問控制在數(shù)據(jù)庫內(nèi)部，與迄今為止我們對登錄驗證的處理方式不同，我們可以把權(quán)限分配給角色而不是直接把它們分配給全局組。這種能力使得我們能夠輕松地在安全策略中使用SQLServer驗證的登錄。

4分配權(quán)限

實施安全策略的最后一個步驟是創(chuàng)建用戶定義的數(shù)據(jù)庫角色，然后分配權(quán)限。完成這個步驟最簡單的方法是創(chuàng)建一些名字與全局組名字配套的角色

創(chuàng)建好角色之后就可以分配權(quán)限。在這個過程中，我們只需用到標準的GRANT、REVOKE和DENY命令

5簡化安全管理

首選的方法應(yīng)該是使用NT驗證的登錄，然后通過一些精心選擇的全局組和數(shù)據(jù)庫角色管理數(shù)據(jù)庫訪問簡化安全策略的經(jīng)驗規(guī)則：用戶通過SQLServerUsers組獲得服務(wù)器訪問，通過DB_NameUsers組獲得數(shù)據(jù)庫訪問用戶通過加入全局組獲得權(quán)限，而全局組通過加入角色獲得權(quán)限，角色直接擁有數(shù)據(jù)庫里的權(quán)限需要多種權(quán)限的用戶通過加入多個全局組的方式獲得權(quán)限。

首先你必須對操作系統(tǒng)進行安全配置，保證你的操作系統(tǒng)處于安全狀態(tài)然后對你要使用的操作數(shù)據(jù)庫軟件（程序）進行必要的安全審核，比如對ASP、PHP等腳本最后安裝SQLServer2000后請打上補丁SP以及最新的SP26SQL安全配置7SQL安全配置續(xù)（1）使用安全的密碼策略

使用安全的帳號策略加強數(shù)據(jù)庫日志的記錄管理擴展存儲過程使用協(xié)議加密7SQL安全配置續(xù)（2）不要讓人隨便探測到你的TCP/IP端口

修改TCP/IP使用的端口

拒絕來自1434端口的探測

對網(wǎng)絡(luò)連接進行IP限制

Oracle數(shù)據(jù)庫安全策略數(shù)據(jù)庫備份所使用的結(jié)構(gòu)Oracle數(shù)據(jù)庫使用幾種結(jié)構(gòu)來保護數(shù)據(jù)：書庫后備、日志、回滾段和控制文件在線日志一個Oracle數(shù)據(jù)庫的每一實例有一個相關(guān)聯(lián)的在線日志。一個在線日志有多個在線日志文件組成歸檔日志Oracle要將填滿的在線日志文件組歸檔時，則要建立歸檔日志。Oracle數(shù)據(jù)庫安全策略續(xù)（1）Oracle的數(shù)據(jù)安全

邏輯備份

數(shù)據(jù)庫的邏輯備份包含讀一個數(shù)據(jù)庫記錄集和將記錄集寫入文件

物理備份

物理備份包含拷貝構(gòu)成數(shù)據(jù)庫的文件而不管其邏輯內(nèi)容.它分為脫機備份（offlinebackup）和聯(lián)機備份（onlinebackup）Oracle數(shù)據(jù)庫安全策略續(xù)（2）Oracle數(shù)據(jù)庫的角色管理通過驗證用戶名稱和口令，防止非Oracle用戶注冊到Oracle數(shù)據(jù)庫，對數(shù)據(jù)庫進行非法存取操作授予用戶一定的權(quán)限，限制用戶操縱數(shù)據(jù)庫的權(quán)力授予用戶對數(shù)據(jù)庫實體的存取執(zhí)行權(quán)限，阻止用戶訪問非授權(quán)數(shù)據(jù)提供數(shù)據(jù)庫實體存取審計機制，使數(shù)據(jù)庫管理員可以監(jiān)視數(shù)據(jù)庫中數(shù)據(jù)的存取情況和系統(tǒng)資源的使用情況采用視圖機制，限制存取基表的行和列集合Oracle數(shù)據(jù)庫安全策略續(xù)（3）用戶角色管理對所有客戶端按工作性質(zhì)分類，分別授予不同的用戶角色對不同的用戶角色，根據(jù)其使用的數(shù)據(jù)源，分別授予不同的數(shù)據(jù)庫對象存取權(quán)限

遠程登錄服務(wù)遠程登錄服務(wù)是指通過某種端口協(xié)議為遠程客戶端提供執(zhí)行系統(tǒng)命令的服務(wù)常見的遠程登陸服務(wù)包括Telnet終端服務(wù)PcAnywhererloginSSH協(xié)議漏洞、服務(wù)程序漏洞等問題Windows2000終端服務(wù)TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)實現(xiàn)終端服務(wù)不是使用HTTP或HTTPS的，而是通過RDP通道實現(xiàn)TS監(jiān)聽端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默認)終端服務(wù)安全輸入法漏洞造成的威脅netuserabc123/addnetlocalgroupadministratorsabc/add注冊表DontDisplayLastUserName1針對TS的攻擊密碼猜測攻擊風(fēng)險(TSGrinder)權(quán)限提升風(fēng)險(PipeUpAdmin、GetAdmin)IME攻擊風(fēng)險RDPDoS攻擊風(fēng)險SMB服務(wù)--連接與驗證過程ClientServer1.建立TCP連接2.客戶端類型、支持的服務(wù)方式列表等3.服務(wù)器認證方式、加密用的key等4.用戶名、加密后密碼5.認證結(jié)果隨機生成一把加密密鑰key(8或16字節(jié))采用DES的變形算法，使用key對密碼散列進行加密SMB提供的服務(wù)SMB會話服務(wù)TCP139和TCP443端口SMB數(shù)據(jù)報支持服務(wù)UDP138和UDP445端口SMB名稱支持服務(wù)UDP137端口SMB通用命令支持服務(wù)開放SMB服務(wù)的危險SMB名稱類型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名稱列表1SMB名稱類型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名稱列表2強化SMB會話安全強制的顯式權(quán)限許可：限制匿名訪問控制LANManager驗證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊表Netbios的安全設(shè)置

取消綁定文件和共享綁定打開控制面板－網(wǎng)絡(luò)－高級－高級設(shè)置選擇網(wǎng)卡并將Microsoft網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，禁止了139端口。注冊表修改HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\ParametersName:SMBDeviceEnabledType:REG_DWORDValue:0禁止445端口。禁止匿名連接列舉帳戶名需要對注冊表做以下修改。

注：不正確地修改注冊表會導(dǎo)致嚴重的系統(tǒng)錯誤，請慎重行事！

1．運行注冊表編輯器（Regedt32.exe）。

2．定位在注冊表中的下列鍵上：

HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA

3．在編輯菜單欄中選取加一個鍵值：

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1（Windows2000下為2）

4．退出注冊表編輯器并重啟計算機，使改動生效。Netbios的安全設(shè)置Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項，提供三個值可選0：None.Relyondefaultpermissions（無，取決于默認的權(quán)限）1：DonotallowenumerationofSAMaccountsandshares（不允許枚舉SAM帳號和共享）2：Noaccesswithoutexplicitanonymouspermissions（沒有顯式匿名權(quán)限就不允許訪問）

Netbios的安全設(shè)置其他服務(wù)--Windows2000打印驅(qū)動以fullcontrol權(quán)限運行在OS級別面臨的主要威脅默認情況下任何人都可以安裝打印驅(qū)動通過配置組策略或直接修改注冊表攻擊者可能會使用木馬替換打印驅(qū)動禁止和刪除服務(wù)通過services.msc禁止服務(wù)使用ResourceKit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請求服務(wù)和端口限制限制對外開放的端口:在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置。禁用snmp服務(wù)或者更改默認的社區(qū)名稱和權(quán)限禁用terminalserver服務(wù)將不必要的服務(wù)設(shè)置為手動

Alerter

ClipBook

ComputerBrowser……Linux服務(wù)Internet網(wǎng)絡(luò)服務(wù)的安全性FTP、WWW、MAIL等系統(tǒng)本身的安全性TCPWrapper、inetd、Xinetd等Intranet服務(wù)的安全性NFS、NIS等Linux網(wǎng)絡(luò)配置(1)Linux用daemon程序來提供網(wǎng)絡(luò)服務(wù)有些服務(wù)直接由daemon程序一直運行有些服務(wù)通過inetd提供Inetd它的職責(zé)是監(jiān)聽大范圍內(nèi)的網(wǎng)絡(luò)端口，根據(jù)進來的請求動態(tài)啟動相應(yīng)的服務(wù)daemon——節(jié)約資源在Linux上，其實大多數(shù)inetd服務(wù)并不是必需的，雖然，這些服務(wù)本身有一定的安全認證能力，但是為了安全起見，應(yīng)該關(guān)閉這些服務(wù)Linux網(wǎng)絡(luò)配置(2)配置xinetd編輯xinetd.conf

每行格式：<service_name><sock_type><proto><flags><user><server_path><args>通過/etc/services文件，可以查到每個service的端口和協(xié)議類型停止inetd進程，并重新啟動inetd.conf配置文件解讀inetd.conf文件tftpdgramudpwaitroot/usr/sbin/tcpdin.tftpd服務(wù)名稱SOCK類型使用的傳輸層協(xié)議標志位，wait表示一次可處理多個請求服務(wù)以什么用戶身份運行服務(wù)守護進程位置參數(shù)TCPwrappersTCPwrapper使得系統(tǒng)可以在請求登錄或者輸入口令之前拒絕進來的連接TCPwrapper的兩個配置文件/etc/hosts.deny——滿足條件則拒絕/etc/hosts.allow——滿足條件則允許配置規(guī)則：service:host(s)[::action]兩個工具tcpdchk,檢查配置文件有沒有錯誤，是否與其他文件沖突tcpdmatch,模擬規(guī)則是否如期起作用Hosts.deny和Hosts.allow文件實現(xiàn)TCPWrapper的關(guān)鍵具有“server:client”的規(guī)則形式如果兩個文件都丟失，則相應(yīng)的訪問總是被允許的如果沒有匹配項，則缺省總是被允許Hosts.deny/allow文件語法Service-list:Hosts-listALLUNKNOWNTelnetdFtpd……ALLUNKNOWNLOCALIPIP/maskXinetd(eXtendInterNETDaemon)作為inetd的高級替換版本，但和inetd完全不兼容語法完全不兼容本質(zhì)上是hosts.deny和hosts.allow、inetd.conf的組合，可以使用itox工具轉(zhuǎn)換常見與高版本Linux中擁有為數(shù)不少的優(yōu)點支持TCP、UDP、RPC等有效防止DoS，對堆棧作優(yōu)化限制同一類型的服務(wù)器數(shù)目可作代理Xinetd.conf文件語法serviceservice-name{Property1=…Property2+=…Property3-=…Property4=………}必須的關(guān)鍵字相關(guān)屬性必須包含在花括號中為屬性分配一個或多個值為屬性增加一個值為屬性取消一個值Xinetd.conf的defaults項提供了創(chuàng)建屬性默認值的方法無需使用service關(guān)鍵字作前導(dǎo)舉例defaults

{Log_type=SYSLOGLog_on_success=PIDHOSTEXITDURATIONLog_on_failure=HOSTInstances=8Disabled=in.tftpdinrexecd}Xinetd.conf的servers項主要功能：查閱進程的確切信息列表service

servers{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=9997Wait=noOnly_from=11Wait=no}在9997端口監(jiān)聽來自11的列表請求，但不允許并發(fā)多個請求Xinetd.conf的Services項service

services{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=8099Wait=noOnly_from=topcat}在8099端口監(jiān)聽來自topcat的列表請求，但不允許并發(fā)多個請求，給出信息就退出ApacheApache服務(wù)器它是Internet網(wǎng)上應(yīng)用最為廣泛的Web服務(wù)器軟件之一。Apache服務(wù)器源自美國國家超級技術(shù)計算應(yīng)用中心（NCSA）的Web服務(wù)器項目中。目前已在互聯(lián)網(wǎng)中占據(jù)了領(lǐng)導(dǎo)地位Apache服務(wù)器的主要安全缺陷使用HTTP協(xié)議進行的拒絕服務(wù)攻擊(denialofservice)緩沖區(qū)溢出攻擊被攻擊者獲得root權(quán)限的安全缺陷惡意的攻擊者進行“拒絕服務(wù)”(DoS)攻擊正確維護和配置Apache服務(wù)器

ApacheWeb服務(wù)器主要有三個配置文件，位于/usr/local/apache/conf目錄httpd.conf>主配置文件srm.conf>填加資源文件access.conf>設(shè)置文件的訪問權(quán)限Apache服務(wù)器的日志文件

使用日志格式指令來控制日志文件的信息。使用LogFormat“%a%l”指令，可以把發(fā)出HTTP請求瀏覽器的IP地址和主機名記錄到日志文件出于安全的考慮，在日志中至少應(yīng)該知道那些驗證失敗的WEB用戶在http.conf文件中加入LogFormat"%401u"指令可以實現(xiàn)這個目的

Apache服務(wù)器的目錄安全認證

在ApacheServer中是允許使用.htaccess做目錄安全保護的，欲讀取這保護的目錄需要先鍵入正確用戶帳號與密碼。這樣可做為專門管理網(wǎng)頁存放的目錄或做為會員區(qū)等

？？？Apache服務(wù)器訪問控制

access.conf文件，它包含一些指令控制允許什么用戶訪問Apache目錄。應(yīng)該把denyfromall設(shè)為初始化指令，再使用allowfrom指令打開訪問權(quán)限Web服務(wù)的用戶身份認證

Web服務(wù)器支持的驗證方式基本驗證的具體實現(xiàn)方法在Linux下用SSL構(gòu)建一個安全的Web用IIS建立高安全性Web服務(wù)器WEB安全性的綜合策略協(xié)議本身的安全性支持身份認證BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web認證BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的認證一種雙向認證模式：單向TLS認證+客戶提供名字/口令MicrosoftpassportBasicAuthenticationWeb服務(wù)器用戶名和密碼用戶名和密碼口令直接明文傳輸隱患：sniffer、中間代理、假冒的服務(wù)器DigestAccesAuthenticationChallenge-Response,不傳輸口令重放攻擊、中間人攻擊服務(wù)器端的口令管理策略WEB安全性的綜合策略(1)有些應(yīng)用使用SSL/TLS，為WebService申請一個證書WebServer往往是網(wǎng)絡(luò)攻擊的入口點為了提供WebService，必須要開放端口和一些目錄，還要接受各種正常的連接請求防火墻對WebServer的保護是有限的WEB安全性的綜合策略(2)及時打上WebServer軟件廠商提供的補丁程序特別是一些主流的服務(wù)軟件，比如MS的IIS控制目錄和文件的權(quán)限Web應(yīng)用開發(fā)人員注意在服務(wù)端的運行代碼中，對于來自客戶端的輸入一定要進行驗證防止緩沖區(qū)溢出Web客戶端的安全性客戶端安全性涉及到Cookie的設(shè)置，保護用戶的隱私PKI設(shè)置，確定哪些是可信任的CA對可執(zhí)行代碼的限制，包括JavaApplet，ActiveXcontrol客戶瀏覽器的安全設(shè)置真的安全嗎我們有必要了解這些安全性FTP安全FTP的一些特性FTP的包過濾方式FTP服務(wù)形態(tài)FTP服務(wù)的安全性FTP服務(wù)器的安全配置FTP的特性與目標促進文件（程序或數(shù)據(jù)）的共享支持間接或隱式地使用遠程計算機幫助用戶避開主機上不同的可靠并有效地傳輸數(shù)據(jù)FTP的包過濾方式

FTP使用兩個獨立的TCP連接一個在服務(wù)器和客戶程序之間傳遞命令和結(jié)果（通常稱為命令通道）另一個用來傳送真實的文件和目錄列表（通常稱為數(shù)據(jù)通道）多數(shù)FTP服務(wù)器和客戶程序都支持“反向方式”或“PASV方式”FTP服務(wù)形態(tài)匿名服務(wù)（AnonymousService）FTP代理：允許第三方文件傳輸針對FTP的攻擊FTP跳轉(zhuǎn)攻擊無訪問控制密碼截獲端口盜用Wu-ftp的配置文件

/etc//etc//etc//etc//etc//etc/#catroothenrytestJacky-zhuroot、henry、test、Jacky-zhu用戶不能ftp登陸該文件夾中包含的用戶不能通過FTP登錄服務(wù)器，有時將需要禁止的用戶賬號寫入文件/etc/中，這樣就可以禁止一些用戶使用FTP服務(wù)/etc/

:.Z:::/bin/compress-d-c%s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS:::.Z:/bin/compress-c%s:T_REG:O_COMPRESS:COMPRESS:.gz:::/bin/gzip-cd%s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP:::.gz:/bin/gzip-9-c%s:T_REG:O_COMPRESS:GZIP:::.tar:/bin/tar-c-f-%s:T_REG|T_DIR:O_TAR:TAR:::.tar.Z:/bin/tar-c-Z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS:::.tar.gz:/bin/tar-c-z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP:::.crc:/bin/cksum%s:T_REG::CKSUM:::.md5:/bin/md5sum%s:T_REG::MD5SUM用來配置壓縮/解壓縮程序/etc/文件(1)classallreal,guest,anonymous*limitall10Any/etc/msgs/msg.deadreadmeREADME*loginreadmeREADME*cwd=*message/welcome.msgloginmessage.messagecwd=*compressyesalltaryesalllogcommandsreallogtransfersanonymous,realinbound,outboundshutdown/etc/shutmsgemailuser@hostnameWu-ftpd的三種ftp登錄方式包括的主要內(nèi)容：1.class[…]類定義與控制2.limit[…]限制控制3.deny[…]否決控制4.byte-limi