当前位置 : 主页>服务器技术>Web服务器>列表

Web服务器安全指南

来源：互联网 作者：west263.com 时间：2008-02-23

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

在电脑网络日益普及的今天，电脑安全不但需要防治电脑病毒，而且要提高系统抵抗黑客非法入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。本文仅仅讨论在构造Web服务器时可能出现的一些情况，希望能引起重视。

一、安全漏洞

Web服务器上的漏洞能够从以下几方面考虑：

1.在Web服务器上您不让人访问的秘密文档、目录或重要数据。

2.从远程用户向服务器发送信息时，特别是信用卡之类东西时，中途遭不法分子非法拦截。

3.Web服务器本身存在一些漏洞，使得一些人能侵入到主机系统，破坏一些重要的数据，甚至造成系统瘫痪。

4.CGI安全面的漏洞有：

(1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。

(2)用CGI脚本编写的程式当涉及到远程用户从浏览器中输入表格(Form)，并进行检索(Search index)，或form-mail之类在主机上直接操作命令时，或许会给Web主机系统造成危险。

5.更有一些简单的从网上下载的Web服务器，没有过多考虑到一些安全因素，不能用作商业应用。

因此，不管是配置服务器，还是在编写CGI程式时都要注意系统的安全性。尽量堵住任何存在的漏洞，创造安全的环境。

二. 提高系统安全性和稳定性

Web服务器安全预防措施：

1.限制在Web服务器开账户，定期删除一些断进程的用户。

2.对在Web服务器上开的账户，在口令长度及定期更改方面作出需要，防止被盗用。

3.尽量使FTP、MAIL等服务器和之分开，去掉ftp,sendmail,tftp,NIS, NFS，finger,netstat等一些无关的应用。

4.在Web服务器上去掉一些绝对不用的如SHELL之类的解释器，即当在您的CGI的程式中没用到PERL时，就尽量把PERL在系统解释器中删除掉。

5.定期查看服务器中的日志logs文档，分析一切可疑事件。在errorlog中出现rm, login, /bin/perl, /bin/sh等之类记录时，您的服务器可能已受到了一些非法用户的入侵。

6.配置好Web服务器上系统文档的权限和属性，对可让人访问的文档分配一个公用的组，如WWW，并只分配他只读的权利。把任何的HTML文档归属WWW组，由Web管理员管理WWW组。对于Web的配置文档仅对Web管理员有写的权利。

7.有些Web服务器把Web的文档目录和FTP目录指在同一目录时，应该注意不要把FTP的目录和CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些如PERL或SH之类程式，并用Web的CGI-BIN去执行，造成不良后果。

8.通过限制许可访问用户IP或DNS，如在NCSA中的access.conf中加上：

《Directory /full/path/to/directory》
《Limit GET POST》
order mutual-failure
deny from all
allow from 168.160.142. abc.net.cn
《/Limit》
《/Directory》

这样只能是以域名为abc.net.cn或IP属于168.160.142的客户访问该Web服务器。

对于CERN或W3C服务器能够这样在httpd.conf中加上：

Protection LOCAL-USERS {
GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)
}
Protect /relative/path/to/directory/* LOCAL-USERS

9.WINDOWS下HTTPD
(1)Netscape Communications Server for NT

PERL解释器的漏洞：

Netscape Communications Server中无法识别CGI-BIN下的扩展名及其应用关系，如.pl文档是PERL的代码程式自动调用的解释文档，即使现在也只能把perl.exe文档存放在CGI-BIN目录之下。执行如：/cgi-bin/perl.exe?&my_script.pl。但是这就给任何人都有执行PERL的可能，当有些人在其浏览器的URL中加上如：/cgi-bin/perl.exe?&-e unlink <*>时，有可能造成删除服务器当前目录下文档的危险。但是，其他如：O′Reilly WebSite或Purveyor都不存在这种漏洞。

CGI执行批处理文档的漏洞：

文档test.bat的内容如下：

@echo off
echo Content-type: text/plain
echo
echo Hello World!

假如客户浏览器的URL为：/cgi-bin/test.bat?&dir，则执行调用命令解释器完成DIR列表。这就让访问者有执行其他命令可能性。

(2)O′Reilly WebSite server for Windows NT/95

在WebSite1.1B以前的版本中使用批处理文档存在着和Netscape同样的漏洞，但是，新版关闭了.bat在CGI中的作用。支持PERL，新版将VB和C作为CGI研发工具。

(3)Microsoft′s IIS Web Server

1996年3月5日前的IIS在NT下的BUG严重，能够任意使用command命令。但之后已修补了该漏洞，您可检查您的可执行文档的建立日期。IIS3.0还存在一些安全BUG，主要是CGI-BIN下的覆给权利。另外，许多Web服务器本身都存在一些安全上的漏洞，都是在版本升级过程中被不断更新了，在此就不一一列举了。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

用IE的Web服务建立ASP.NET应用

网络新宠：web2.0下的编辑理念变

Apache vs Lighttpd谁更好？

用Win 2003 server打造安全的个

关于IIS连接数和在线人数的详细

Apache服务器之JSP架构篇

上一篇： Apache连接数配置
下一篇： Apache虚拟主机的配置

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225