Web服務(wù)器的安全和攻擊防范(5)_Windows教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
私有數(shù)據(jù)的安全性
我們要討論的第二類安全問題涉及到服務(wù)器公用目錄下的私有數(shù)據(jù)。許多Web空間提供商提供的只有“Web空間”,它們會(huì)把用戶FTP目錄的根映射到Web服務(wù)器的根。也就是說,用戶可以通過FTP以“/”訪問服務(wù)器目錄“/home/www/servers/www.customer.com/”,同時(shí)任何人可以通過URL“http://www.customer.com/”訪問它,用FTP方式保存的“/password”文件可以通過URL“http://www.customer.com/password”訪問。如果用戶Web應(yīng)用需要保存一些私有的、不能從Web訪問的數(shù)據(jù),則根本無法找到滿足要求的位置。
許多Web商店把訂單日志和調(diào)試輸出寫入一個(gè)或多個(gè)日志文件,或者用配置文件來保存密碼和商品數(shù)據(jù)。如果這些數(shù)據(jù)保存到頁面文檔根目錄之下,那么它們就有相應(yīng)的URL而且可以通過Web訪問。此時(shí)攻擊者所要做的只是猜出這些文件的名字。只要了解了20種主流在線商店系統(tǒng)的默認(rèn)設(shè)置并正確地識(shí)別出目標(biāo)網(wǎng)站所用的系統(tǒng),要猜出這些文件名字是相當(dāng)簡單的。
如果Web服務(wù)器既提供私有數(shù)據(jù)存儲(chǔ)又提供公用頁面目錄,上述問題就不會(huì)再出現(xiàn)。例如在這些方案中,F(xiàn)TP根目錄“/”映射到“/home/www/servers/www.customer.com/”,但頁面文檔的根目錄卻在它的下一級(jí)目錄“/home/www/servers/www.customer.com/pages”,可以通過FTP以“/pages”形式訪問。在這種目錄配置下,用戶可以另外創(chuàng)建和頁面文檔根目錄平行的目錄,然后把敏感數(shù)據(jù)放到這些目錄中。由于這些目錄可以通過FTP訪問,但不能通過HTTP訪問,所以它們是無法通過Web訪問的。
如果系統(tǒng)沒有采用上述根目錄分離的目錄結(jié)構(gòu),我們還有一種解決問題的辦法,即在頁面文檔根目錄下創(chuàng)建專用的私有數(shù)據(jù)存儲(chǔ)目錄,如“/shop”,然后在這個(gè)目錄中創(chuàng)建.htaccess文件,通過.htaccess文件拒絕所有HTTP訪問(適用于Apache服務(wù)器):
該目錄中的文件只能通過FTP傳輸,因?yàn)镕TP傳輸忽略.htaccess文件。但與前面采用頁面文檔根目錄之外獨(dú)立目錄的方法相比,這種方法的風(fēng)險(xiǎn)更多一點(diǎn),因?yàn)槿绻⻊?wù)器管理員在服務(wù)器主配置文件中意外地關(guān)閉了該目錄必不可少的“AllowOverride Limit”優(yōu)先權(quán),這種保護(hù)將不再有效。
上述問題還有各種變化形式。如果一臺(tái)機(jī)器上運(yùn)行著多個(gè)客戶網(wǎng)站,那么客戶就能夠欺騙機(jī)器,訪問在其自己目錄層次之外的路徑,例如“/home/www/servers/www.customer.com”目錄之外的文件。通常,只需創(chuàng)建各種符號(hào)鏈接(指向保存在用戶虛擬服務(wù)器之外的文件)就有可能實(shí)現(xiàn)這一點(diǎn)。最有可能成為鏈接目標(biāo)的是包含文件和私有密匙,這是為了獲取數(shù)據(jù)庫密碼和其他必須保密的信息(為了讓應(yīng)用能夠正常運(yùn)行這些信息往往以明文形式保存在這類文件中)。其他可能的攻擊目標(biāo)還包括保存在非公用目錄中的訂單記錄和其他有用數(shù)據(jù)。
我們要討論的第二類安全問題涉及到服務(wù)器公用目錄下的私有數(shù)據(jù)。許多Web空間提供商提供的只有“Web空間”,它們會(huì)把用戶FTP目錄的根映射到Web服務(wù)器的根。也就是說,用戶可以通過FTP以“/”訪問服務(wù)器目錄“/home/www/servers/www.customer.com/”,同時(shí)任何人可以通過URL“http://www.customer.com/”訪問它,用FTP方式保存的“/password”文件可以通過URL“http://www.customer.com/password”訪問。如果用戶Web應(yīng)用需要保存一些私有的、不能從Web訪問的數(shù)據(jù),則根本無法找到滿足要求的位置。
許多Web商店把訂單日志和調(diào)試輸出寫入一個(gè)或多個(gè)日志文件,或者用配置文件來保存密碼和商品數(shù)據(jù)。如果這些數(shù)據(jù)保存到頁面文檔根目錄之下,那么它們就有相應(yīng)的URL而且可以通過Web訪問。此時(shí)攻擊者所要做的只是猜出這些文件的名字。只要了解了20種主流在線商店系統(tǒng)的默認(rèn)設(shè)置并正確地識(shí)別出目標(biāo)網(wǎng)站所用的系統(tǒng),要猜出這些文件名字是相當(dāng)簡單的。
如果Web服務(wù)器既提供私有數(shù)據(jù)存儲(chǔ)又提供公用頁面目錄,上述問題就不會(huì)再出現(xiàn)。例如在這些方案中,F(xiàn)TP根目錄“/”映射到“/home/www/servers/www.customer.com/”,但頁面文檔的根目錄卻在它的下一級(jí)目錄“/home/www/servers/www.customer.com/pages”,可以通過FTP以“/pages”形式訪問。在這種目錄配置下,用戶可以另外創(chuàng)建和頁面文檔根目錄平行的目錄,然后把敏感數(shù)據(jù)放到這些目錄中。由于這些目錄可以通過FTP訪問,但不能通過HTTP訪問,所以它們是無法通過Web訪問的。
如果系統(tǒng)沒有采用上述根目錄分離的目錄結(jié)構(gòu),我們還有一種解決問題的辦法,即在頁面文檔根目錄下創(chuàng)建專用的私有數(shù)據(jù)存儲(chǔ)目錄,如“/shop”,然后在這個(gè)目錄中創(chuàng)建.htaccess文件,通過.htaccess文件拒絕所有HTTP訪問(適用于Apache服務(wù)器):
|
該目錄中的文件只能通過FTP傳輸,因?yàn)镕TP傳輸忽略.htaccess文件。但與前面采用頁面文檔根目錄之外獨(dú)立目錄的方法相比,這種方法的風(fēng)險(xiǎn)更多一點(diǎn),因?yàn)槿绻⻊?wù)器管理員在服務(wù)器主配置文件中意外地關(guān)閉了該目錄必不可少的“AllowOverride Limit”優(yōu)先權(quán),這種保護(hù)將不再有效。
上述問題還有各種變化形式。如果一臺(tái)機(jī)器上運(yùn)行著多個(gè)客戶網(wǎng)站,那么客戶就能夠欺騙機(jī)器,訪問在其自己目錄層次之外的路徑,例如“/home/www/servers/www.customer.com”目錄之外的文件。通常,只需創(chuàng)建各種符號(hào)鏈接(指向保存在用戶虛擬服務(wù)器之外的文件)就有可能實(shí)現(xiàn)這一點(diǎn)。最有可能成為鏈接目標(biāo)的是包含文件和私有密匙,這是為了獲取數(shù)據(jù)庫密碼和其他必須保密的信息(為了讓應(yīng)用能夠正常運(yùn)行這些信息往往以明文形式保存在這類文件中)。其他可能的攻擊目標(biāo)還包括保存在非公用目錄中的訂單記錄和其他有用數(shù)據(jù)。
相關(guān)Windows教程:
Windows教程Rss訂閱服務(wù)器教程搜索
Windows教程推薦
- 給IIS Web服務(wù)器裝上一把鎖(3)
- IP安全策略限制IP進(jìn)入遠(yuǎn)程桌面設(shè)置方法
- Apache服務(wù)器的安全性及實(shí)現(xiàn)(4)
- win2003中的w3wp.exe進(jìn)程大量占用cpu資源的各種問題解決方法
- 個(gè)人服務(wù)器架設(shè)全攻略(26)
- windows server2003如何更改系統(tǒng)密碼
- 基于Web的電子商務(wù)解決方案(3)
- 配置一個(gè)安全的chroot DNS(3)
- iptables應(yīng)用之動(dòng)態(tài)DNS(2)
- 基于Jave的Web服務(wù)工作機(jī)制(3)
- 相關(guān)鏈接:
- 教程說明:
Windows教程-Web服務(wù)器的安全和攻擊防范(5)
。