、概述 计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。
不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
在防治网络病毒方面,在http传输中html文件是一般不会存在感染病毒的危险。危险在于**可执行软件如:.zip .
exe .arj .z 等文件过程中应特别加以注意。
都有潜伏病毒的可能性。
对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。
在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
当然,计算机系统安全是个很大的范畴,本章仅仅讨论在构造 web时,可能出现的一些情况,希望能引起重视。
、web在安全上的漏洞 web 服务器上的漏洞可以从以下几方面考虑:
(1)在web服务器上你不让人访问的秘密文件、目录或重要数据。
(2)从远程用户向服务器发送信息时,特别是信用卡之类东西时,中途遭不法分子非法拦截。
(3) web服务器本身存在的一些漏洞,使得一些人能侵入到主机系统破坏一些重要的数据,甚至造成系统瘫痪。
(4)cgi安全方面的漏洞有:
1〕有意或无意在主机系统中遗漏(bugs)给非法黑客创造条件。
2〕用 cgi脚本编写的程序当涉及到远程用户从浏览器中输入**(form) 并进行象检索(search index)或form-mail之类在主机上直接操作命令时,或许会给web主机系统造成危险。
因此,从cgi角度考虑web的安全性,主要是在编制程序时,应详细考虑到安全因素。尽量避免cgi程序中存在漏洞。
从web服务器版本上分析:
在2023年3月发现ncsa1.3以下版本的httpd明显存在安全上的漏洞,即客户计算机可以任意地执行服务器上面的命令,非常危险。但,ncsa1.
4以上版本的服务器就补上了这个漏洞。还有一些简单的从网上**web服务器,没有过多考虑到一些安全因素,不能用作商业应用。
因此,不管是配置服务器,还是在编写 cgi程序时都要注意系统的安全性。尽量堵住任何存在的漏洞,创造安全的环境。在具体服务器设置及编写 cgi程序时应该注意:
管理服务器上
1)禁止乱用从其他网中**的一些工具。
软件,并在没有详细了解之前尽量不要用root身份注册执行。以防止某些程序员在程序中设下的陷井,如:程序中加上一两行 "rm -rf /"或"mail username < etc/passwd" 之类情况发生。
2)在选用 web服务器时,应考虑到不同服务器对安全的要求不一样。一些简单的 web服务器就没有考虑到一些安全的因素,不能把他用作商业应用。只作一些个人的网点。
3)在利用web中的。htpass来管理和校验用户口令时,存在校验的口令和用户名不受次数限制。
、如何在web上提高系统安全性和稳定性
web服务器安全预防措施:
〔1〕限制在web服务器开帐户,定期删除一些断进程的用户。
〔2〕对在web服务器上开的帐户,在口令长度及定期更改方面作出要求,防止被盗用。
〔3〕尽量使ftp, mail等服务器与之分开,去掉ftp,sendmail,tftp,nis, nfs,finger,netstat等一些无关的应用。
〔4〕在web服务器上去掉一些绝对不用的shell等之类解释器,即当在你的 cgi的程序中没用到perl时,就尽量把perl在系统解释器中删除掉。
〔5〕定期查看服务器中的日志logs文件,分析一切可疑事件。在errorlog **现rm, login, /bin/perl, /bin/sh 等之类记录时,你的服务器可能有受到一些非法用户的入侵的尝试。
〔6〕设置好web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组如:www,并只分配它只读的权利。把所有的html文件归属www组,由web管理员管理www组。
对于web的配置文件仅对web管理员有写的权利。
〔7〕有些web服务器把web的文档目录与ftp目录指在同一目录时,应该注意不要把ftp的目录与cgi-bin指定在一个目录之下。这样是为了防止一些用户通过 ftp上在一些尤如perl或sh之类程序并用web的cgi-bin去执行造成不良后果。
〔8〕通过限制许可访问用户ip或dns如:
在ncsa中的中加上:
< directory /full/path/to/directory >
< limit get post >
order mutual-failure
deny from all
allow from 168.160.142.
< /limit >
< /directory >
这样只能是以域名为或ip属于168.160.142的客户访问该web服务器。对于cern或w3c服务器可以这样在中加上:
protection local-users {
getmask @(18.157.0.5protect /relative/path/to/directory/* local-users
〔9〕windows下httpd
1)netscape communications server for nt
〖1〗perl解释器的漏洞
netscape communications server中无法识别cgi-bin下的扩展名及其应用关系,如:.pl是perl的**程序自动调用 文件解释,即。
使现在也只能把文件存放在cgi-bin目录之下。执行如:
cgi-bin/ 但是这就给任何人都有执行 perl的可能,当有些人在其浏览器的url中加上如:/cgi-bin/ 时,有可能造成删除服务器当前目录下文件的危险。但是,其他如:
o'reilly website或purveyor都不存在这种漏洞。
〖2〗cgi执行批处理文件的漏洞文件名:
@echo off
echo content-type: text/plain
echo echo hello world!
如果客户浏览器的url为:/cgi-bin/则执行调用命令解释器完成dir列表。这给访问者有执行其他命令可能性。
2)o'reilly website server for windows nt/95
在website1.1b以前的版本中使用配处理文件存在着netscape同样的漏洞,但是,新版关闭。bat在cgi中的作用。
支持perl,vb和c作为cgi开发工具。至于他的安全问题参看:
3)microsoft's iis web server
在96年3月5日前的iis在nt下的。bat cgi的 bug甚至比其他更严重,可以任意使用command命令。但之后修补该漏洞。
你可检查你的可执行文件的建立日期。iis3.0还存在一些安全bug,主要是cgi-bin下的覆给权利。
另外,许多 web服务器本身都存在一些安全上的漏洞,都是在版本升级过程不断更新。在这就不一一列举。
从cgi编程角度考虑安全:
〔1〕采用编译语言比解释语言会更安全些,并且 cgi程序应放在独立于html 存放目录之外的cgi-bin下,是为了防止一些非法访问者从浏览器端取得解释性语言的原**后从中寻找漏洞。
〔2〕在用c来编写cgi程序时尽量少用popen(),system()和所有涉及/bin/sh 的shell命令。在perl中system(),exec(),open(),eval()等exec或eval之类命令。在由用户填写的form还回cgi时,不要直接调用system()之类函数。
这是为避免当填写内容为“rm -rf /*或“/usr/lib/sendmail mail < etc/passwd”之类内容。
〔3〕用perl编写cgi时如:
$mail_to = get_name_from_input;
open (mail,"|usr/lib/sendmail $mail_toprint mail "to: $mailtonfrom: mennhi there!
nclose mail;
该小程序是把客户浏览器的form到服务器的mail处理程序。
另外,对于数据的加密与传输,目前有ssl,shttp,shen等协议供大家研究。
〔1〕ssl(secure socket layer)系由netscape公司建议的一种建构在tcp协议之上的保密措施通讯协议,不但适用于http,而且还适用于telnet,ftp,nntp, gopher等客户/服务器模式的安全协议。netscape n**igator, secure mosaic, 和microsoft internet explorer等客户浏览器与netscape, microsoft, ibm, quarterdec
k, openmarket 和 o'reilly等服务器产品都采用ssl协议。
详细请参看:
〔2〕shttp(secure http)系由commercenet公司建议构造在http协议之上的高层协议。目前由open market公司推销的 open marketplace 服务器结合enterprise integration technologies的secure http mosaic客户浏览器采用s-http。
详细参看:防火墙(firewall)
(1)防火墙的概念当一个网络接上internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
随着人们对网络安全意识提高,在网络的防火墙上采取许多做法并也已开发出很多防火墙的产品。
网络安全与防火墙技术
电子工程师 年增刊。之矛。网络安全与防火墙技术。龚庆悦。施诚。南京中医药大学 南京,摘要比较分析了包过祥型 服务器型和状态检测型三种防火墉技术的各自优缺点和防火。堵之外的一些安全策略。关妞词防火墉网络安全。作为一个系统管理员,如果你管理的局 包过通型。域网与 建立了连接,那么你的日常最早最传统的防火...
网络安全与防火墙技术
作者 金黎明。经济研究导刊 2011年第18期。摘要 从信息安全的角度出发,阐述了网络安全的重要性,并从防火墙的基本类型着手,论述了防火墙部署原则,又从防火墙部署的位置详细阐述了防火墙的选择标准。关键词 网络安全 防火墙 技术 中图分类号 d92 文献标志码 a文章编号 1673 291x 2011...
计算机安全与防火墙技术
作者 万志华。科技视界 2013年第30期。摘要 计算机网络技术不断发展必然会给网络的安全带来一些问题,为了保障计算机网络的安全,计算机网络安全技术要随着计算机网络的发展而不断改革和创新,不断增加新技术,以抵御各种有害计算机安全的信息入侵电脑,防止内部机密信息泄露。本文在对防火墙功能和计算机安全中防...