【导语】“panda_eyes”通过精心收集,向本站投稿了5篇大型机如何抵御 入侵WEB安全,下面就是小编整理后的大型机如何抵御 入侵WEB安全,希望大家喜欢。
- 目录
篇1:大型机如何抵御 入侵WEB安全
在大型机兴起之初,它的使用环境是非常安全的,用户可以将终端系统与大型机相连,这样大型机就能控制数据存储的访问路径和权限,掌控用户的使用信息和来源。
但时至今日我们使用的是面向服务的体系架构(SOA),在与后端系统连接之前会有一系列的计算机发出请求。用户也分为不同的级别。因此大型机的后端就无法实际确认用户真正的身份和授权的地点。所以,在分布式计算机的领域,当用户准备访问大型机数据时,安全状况就变得前景堪忧。
另外,目前真正了解大型机的专家实在寥寥可数--他们多数都已退居二线。因此当用户访问大型机并分享数据时,内忧外患也是越来越多。
大型机是座宝库
威利萨顿(willie sutton)是十九世纪二十年代闻名一时的银行大盗,在他被抓获后有人问他“威利,你为什么抢劫银行呢?”他老实回答说“因为那里有钱”。
如果威利能活到今天,我敢打赌他一定是名入侵终端数据库的 ,因为钱就在那里,或者说至少那里拥有很有价值的信息。大型机对于那些恶意的电脑 来说就是令人垂涎的攻击目标, 典型的做法是在网络协议的掩护下去读取数据。当大型机看到诸如FTP或者HTTP这样的协议时基本都会予以批准,如果这是个SQL注入攻击(SQL injection attack),那么大型机根本就无能无力。
大型机的安全保障
与其不断安装大型机应用软件不如借此机会适时增加基础架构的功能,毕竟开发应用软件也并非易事。因此用户应该将安全功能外置诸如数据库,应用软件或者网络服务器之上,增加另外的安全层也是非常有效的方法。
这个单独的层将弥补安全鉴定的空白。举例来说,如果有 窃取了用户密码就会绕过安全验证系统,那么用户还有另外的安全层权限来访问数据。因此,增加更高权限的安全线和深度防护措施是十分关键的,
深度防护流程
首先职权分离能有助于抵御来自内部和外部的攻击。设置网络应用软件防火墙是抵御 攻击的第一道防线,这也相当于将威利萨顿挡在门外的安全电网。
其次你需要防范数据外流的风险,单独的入侵检测和审核还远远不够。你需要防止意外情况下数据被窃取,因此你要找到合适的方法对数据进行锁定。加密技术是最好的方法。如果能够正确的运用,这也是让你免受数据外泄风险的唯一方法。
入侵检测也是基本方式。如果你的系统处于危险之中,你就必须设置防护层来阻止攻击者入侵系统窃取数据。Protegrity公司拥有一项技术专利就是根据在系统上用户常规活动的历史记录为基础来限定其访问的数据流量。
举例来说,如果某人通常在一周内每天下载的数据量是500条记录,周末没有访问量。那么我们的系统就会鉴别某人的数据下载量不超过10,000条或者周末晚上不能下载数据。
最后,对你的用户实施监控。一旦你对数据进行了锁定,你就需要关注它的运行情况。是否有未经授权的请求?是否有 的攻击企图?你必须关注这些问题,如果用户出现滥用数据的情况能及时的加以制止。
由此可见大型机安全方和的三大要素:网络应用软件防火墙,加密技术和监控措施。
大型机安全防护的支柱 各个方面的安全检查
是时候对之前所忽略的安全系统进行全面的检查。举例来说,检查你的数据库,看看是否有人试图读取你数据库中的信用卡信息。如果你发现有 以有效的用户身份访问信用卡信息,我们就应该对其访问的数据量增加相应的功能设置。
如果你的用户身份存在危险,你就应该设置防护层来阻止入侵者来获取更多的信息。你也可以通过数据使用控制来对入侵进行检测或者阻止 攻击的速度。目前我们在基于行为的入侵检测技术已经获取了专利许可。我们之所以开发这项技术是因为我认为它在数据驱动防护层方面颇有成效。
对于基于行为的访问加以限制在物理世界是非常自然的事。就像按方抓药或者去自动提款机限额取钱一样的道理。这些都是非常成功的安全系统能从逻辑上限定人们的行为。我认为这种方法也同样适用于IT领域的安全防护。
篇2:抵御局域网病毒入侵保障个人电脑安全
个人用户感染病毒后,使用单机版杀毒软件即可清除;然而企业的网络中,一台机器一旦感染病毒,它便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户, 计算机病毒形式及传播途径日趋多样化,因此,大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护策略,抵御局域网病毒入侵保障个人电脑安全。
一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
1、增加安全意识
杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等,
查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
2、小心邮件
随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。
尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
3、挑选网络版杀毒软件
选择一个功力高深的网络版病毒杀手就至关重要了,如瑞星08网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否集中管理是决定一个网络杀毒软件的三大要素。
篇3:抵御 入侵防护服务器安全的七个技巧
你的服务器上是否存有一些不能随意公开的重要数据呢?当然有吧?而最近,偏偏服务器遭受的风险又特别大,越来越多的病毒、心怀不轨的 ,以及那些商业间谍都将服务器当作目标,很显然,服务器的安全问题一刻都忽视不得。
不可能在一篇文章中谈遍电脑安全问题,毕竟,市面上的已有许多这方面的书籍,不过,我倒是可以告诉你七个维护服务器安全的技巧。
技巧一:从基本做起
从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理,防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外,ExchangeServer(邮件服务器)也应该安装防毒软件,这类软件可扫描所有寄进来的电子邮件,寻找被病毒感染的附件,若发现病毒,邮件马上会被隔离,减低使用者被感染的机会。
另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如,上白天班的员工不该有权限在三更半夜登录网络。
最后,存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时,必须混用大小写字母、数字和特殊字符。在WindowsNTServerResourceKit里就有这样的工具软件。你还应该设定定期更新密码,且密码长度不得少于八个字符。若你已经做了这些措施,但还是担心密码不安全,你可以试试从网络下载一些 工具,然后测试一下这些密码到底有多安全。
技巧二:保护备份
大多数人都没有意识到,备份本身就是一个巨大的安全漏洞,怎么说呢?试想,大多数的备份工作多在晚上10点或11点开始,依数据多寡,备份完成后大概也是夜半时分了。现在,想像一下,现在是凌晨四点,备份工作已经结束。有心人士正好可趁此时偷走备份磁盘,并在自己家中或是你竞争对手办公室里的服务器上恢复。不过,你可以阻止这种事情发生。首先,你可利用密码保护你的磁盘,若你的备份程序支持加密功能,你还可以将数据进行加密。其次,你可以将备份完成的时间定在你早上进办公室的时间,这样的话,即使有人半夜想溜进来偷走磁盘的话也无法了,因为磁盘正在使用中;如果窃贼强行把磁盘拿走,他一样无法读取那些损毁的数据。
技巧三:使用RAS的回拨功能
WindowsNT最酷的功能之一就是支持服务器远端存取(RAS),不幸的是,RAS服务器对 来说实在太方便了,他们只需要一个电话号码、一点耐心,然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。
你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网,建议你使用回拨功能,它允许远端用户登录后即挂断,然后RAS服务器会拨出预设的电话号码接通用户,因为此一电话号码已经预先在程序中了, 也就没有机会指定服务器回拨的号码了。
另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上,再将远端用户的登录限制在一台服务器上,而非整个网络。如此一来,即使 入侵主机,他们也只能在单一机器上作怪,间接达到减少破坏的程度。
最后还有一个技巧就是在RAS服务器上使用“另类”网络协议,
很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度,如此选择相当合理,但是RAS还支持IPX/SPX和NetBEUI协议,如果你使用NetBEUI当作RAS协议, 若一时不察铁定会被搞得晕头转向。
技巧四:考虑工作站的安全问题
在服务器安全的文章里提及工作站安全感觉似乎不太搭边,但是,工作站正是进入服务器的大门,加强工作站的安全能够提高整体网络的安全性。对于初学者,建议在所有工作站上使用windows2000。Windows2000是一个非常安全的操作系统,如果你没有Windows2000,那至少使用WindowsNT。如此你便能将工作站锁定,若没有权限,一般人将很难取得网络配置信息。
另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumbterminal)或者说,智慧型的简易终端机。换言之,工作站上不会存有任何数据或软件,当你将电脑当作dumbterminal使用时,服务器必须执行WindowsNT终端服务程序,而且所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本,和一份微软TerminalServerClient。这种方法应该是最安全的网络设计方案。
技巧五:执行最新修补程序
微软内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)有时会被收集成servicepack(服务包)发布。服务包通常有两种不同版本:一个任何人都可以使用的40位的版本,另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。
一个服务包有时得等上好几个月才发行一次,但要是有严重点的漏洞被发现,你当然希望立即进行修补,不想苦等姗姗来迟的服务包。好在你并不需要等待,微软会定期将重要的修补程序发布在它的FTP站上,这些最新修补程序都尚未收录到最新一版的服务包里,我建议你经常去看看最新修补程序,记住,修补程序一定要按时间顺序来使用,若使用错乱的话,可能导致一些文件的版本错误,也可能造成Windows当机。
技巧六:颁布严格的安全政策
另一个提高安全性的方式就是制定一强有力的安全策略,确保每一个人都了解,并强制执行。若你使用Windows2000Server,你可以将部分权限授权给特定代理人,而无须将全部的网管权利交出。即使你核定代理人某些权限,你依然可县制其权限大小,例如无法开设新的使用者帐号,或改变权限等。
技巧七:防火墙,检查,再检查
最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份,因为它能使公司电脑不受外界恶意破坏。
首先,不要公布非必要的IP地址。你至少要有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,工作站和其他服务器的IP地址则必须隐藏。
你还可以查看所有的通讯端口,确定不常用的已经全数关闭。例如,TCP/IPport80是用于HTTP流量,因此不能堵掉这个端口,也许port81应该永远都用不着吧,所以就应该关掉。你可以在网络上查到每个端口的详细用途。
服务器安全问题是个大议题,你总不希望重要数据遭病毒/ 损毁,或被人偷走做为不利你的用途,本文介绍了7个重要的安全检查关卡,你不妨试试看。
篇4:伪装nginx版本防止入侵web服务器WEB安全
为了防止被 扫描到web服务器信息,通过相对应的web服务器信息找出对应的版本漏洞,从而对web服务器进行入侵,nginx虽然功能强大,但是也是软件,软件就可能会有漏洞,例如nginx-0.6.32版本,默认情况下可能导致服务器错误的将任何类型的文件以php的方式进行解析,比如上传一个jpg格式的木马到论坛网站,通过漏洞解析成一个php的webshell,从而入侵获得服务器的权限,这将导致严重的安全问题,使得 可能攻陷支持php的nginx服务器,如果暴漏了nginx版本而且该版本又存在安全漏洞那么你的web服务器肯定危在旦夕了。
针对于nginx服务器,可以修改源码中关于nginx的header描述信息,以下以nginx-1.2.0版本为例。
[root@www nginx-1.2.0]# cd src/core/[root@www core]# vim nginx.h -------编辑nginx.h文件
/** Copyright (C) Igor Sysoev* Copyright (C) Nginx, Inc.*/#ifndef _NGINX_H_INCLUDED_#define _NGINX_H_INCLUDED_#define nginx_version 1002000#define NGINX_VERSION “2.2.2” //默认为1.2.0#define NGINX_VER “Apache/” NGINX_VERSION //默认为Nginx#define NGINX_VAR “NGINX”#define NGX_OLDPID_EXT “.oldbin”#endif /* _NGINX_H_INCLUDED_ */
然后进行正常编译完成安装,
测试效果
使用强大的nmap扫描主机
使用curl获取http请求信息
或者访问一个不存在的URL也可以查看到效果
可以看到无论是用nmap扫描主机还是用curl获取对网站http报文的请求信息甚至是访问请求一个不存在的url都会显示web服务器使用的是Apache2.2.2版本,从而隐藏了我们真实web服务器版本即nginx-1.2.0版本,当然这里可以伪装为IIS、Lighthttp、Tengine甚至是自定义的名字都可以,总之迷惑了入侵者的思路,保护了web服务器的安全。
补充:有朋友留言给我,说404页面还是显示出nginx的风格,那就修改默认404页面吧
在nginx.conf中增加如下内容指定404页面路径(/usr/local/nginx/html)
error_page 404 /404.html;location = /404.html {root html;}
重新加载配置文件
/usr/local/nginx/sbin/nginx -s reload
任意访问一个不存在的页面,就可以看到效果了!
篇5:从源头防止入侵者通过web进行入侵WEB安全
从web的源头制止入侵
题记:昨天休息的时候,一个朋友给我信息说他公司的服务器被黑了,破坏者不停的修改替换主页,搞的他都怕了,查到了那家伙的ip地址,包括身份证号码,家庭住址,报警网警说会处理的,但是一直没人问津。也感叹一下有关部门态度,拿着我们纳税人的养着,却这样给我们服务。有关部门是否也该“市场经济”一把就好了。昨天过去帮他把服务器弄了一下,答应他给他整理一个文档出来的,昨天晚上一想,既然整理了,那就好好整理下,希望此文能给那些想处理好网站的安全而又没钱请专人做的公司以及个人能有点小小的帮助吧。此文为昨天在朋友整理服务器的全程记录,由于考虑到安全的原因,网站目录或者文件名称可能与其网站程序有差异。
本文的宗旨:可能有的人会问,关于Windows系统下的防止webshell的文章那么多,我再写此文简直多此一举,此言差亦。纵观以前大家写的关于windows下的防止webshell的文章,发现了一个小小的bug,那就是没有从源头上制止webshell的执行,就是说webshell可以上传到服务器(有时候是可以跳过默认上传目录的),但是有的还是能把当前站点给黑了的,就是可以将主页给替换了的。此文就是解决这样的一个问题,至于c盘的权限以及组件的删除什么的,以前的一些文章已经写的非常不错了,我在这里也就不再赘述了。
目前流行的通过web入侵的方法:
1、sql注入法:通过sql注入获取一定的后台权限,或者直接通过sql数据库备份一个shell。最早的出现的时间应该是在03年的时候了,通过经典的’or’ ’=’进化而来的。前54nb的小竹写的《sql注入天书》,可算是sql注入的经典,相应推出的nbsi的注入工具也是sql注入工具中的典范了。至今俺还保存着当初推出的beta版到现在的各种修改版。
2、上传法:指的是通过系统提供的web上传功能来直接上传一个shell来获取web控制权限。04年初出现的的,最早出现在dvbbs论坛的上传组建上,其原因是由于windows系统对于文件名的检查的顺序的问题;后来相继又出现了一种就是现在的动易的前身动力文章系统3.6版本,出现的多文件上传过滤不严引起的可以直接上传cer文件的方法。这两种方法应该是上传漏洞鼻祖了。其代表工具有:最早出现的臭要饭的upload工具,还有一个比较经典的就是桂林老兵写的那个,通用性极强。
3、还有一种就是所谓的旁注法了,其方法主要是通过whois工具查找服务器的域名列表,然后通过上述两种方法来获取权限,进而来入侵同一服务器上的目标的,因为其是通过服务器上的其他网站来入侵目标的,因而就称其为旁注了。最早出现的文章应该是B.C.T的老大h4k_b4n写的文章,那时候B.C.T还没有成立呢。
上面了解了下流行的web入侵方法,那下面来看下常用的web的网站系统的一些功能,下面动态的系统和静态的系统来分别说明下。
1、动态的系统:常用的功能有,文章发布,主要是将数据写到数据库中asp常用的主要是access和sql server。文章发布中可以需要一些上传图片的功能。基本目录结构及其所需要的最低的权限如下:
database //为数据库存在目录,可能有的系统的存放目录不一样,这里为了更直观,将其写为database。需要的权限有读取和修改权限,如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录,需要有写入和读取的权限,修改权限。
images //系统使用的图片目录,读取权限即可
admin //后台管理目录,一般为asp文件,需要有读取权限。
/根目录,一般存放为asp文件,需要有读取权限。
2、静态页面的系统:指的是一些内容页生成静态页面,而主页和二级页面为动态的系统,现在这种系统居多,
主要的功能有,上传图片,生成静态页面,acess数据库的可能还有个数据库备份功能。其基本目录结构如下:
database //为数据库存在目录,可能有的系统的存放目录不一样,这里为了更直观,将其写为database。需要的权限有读取和修改权限,如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录,需要有写入和读取的权限。
images //系统使用的图片目录,读取权限即可
admin //后台管理目录,一般为asp文件,需要有读取和执行权限。
/根目录,一般存放为asp文件,需要有读取以及执行权限。
/html//此目录为生成静态页面的目录。需要有读取,修改以,写入权限。此文仅仅讨论生成的后缀为html,htm的情况。也是大部分程序生成的都为这些了。对比动态的多了一个生成静态页面的目录。
下面进入本文的重点:安全的设置。
对于sql注入的防范防范最好的是将所有的客户端提交的进入sql查询的参数全部过滤掉,这个对管理员的要求比较高了,需要懂程序开发才可以搞定的。而有一种比较简单的方法就是使用笔者以前写的一个小工具sql通用防注入系统.可以到我的网站下载:www.neeao.com/blog/article-2285.html.
主要说下如何防止上传漏洞的产生,sql注入比较好发现,对于上传的话如果懂的朋友也是可以用工具检测出来的,当然最好的方法就是修改程序,替换上传组件了。但这个相对于sql通用防注入的防范来说比较难了,没有通用的工具了。那么我们可以用服务器上的权限设置来防止破坏者上传或者上传后执行webshell。
1、先按照以前人总结的防止webshell文章给每个站点设置一个单独的账户,在这里,我为了方面说明,姑且假设我设置的web站点的主目录为:d:\\web\\neeao.com\\,添加的iis匿名账户为web_neeao.com,所属组为guests。
2、设置web主目录的权限,删除除了administrators和system两个账户外的所有账户的访问权限,添加web_neeao.com,账户,将其权限设置为读取。并替换子目录下所有目录及文件权限,删除继承上级目录的权限。
3、设置上传目录的权限,我这里按照我上面列出的上传目录为uplaod,将其权限设置为读取及和写入还有修改权限,或许你有一个以上的上传目录,可以同样这样设置。
4、设置数据库目录的权限,我的数据库目录是database,将其权限设置为读取,写入和修改。或许你有一个以上的数据库目录,可以同样这样设置。
5、images目录权限,读取
6、admin目录,读取。
7、html目录,读取,写入。
上面的是针对磁盘的权限的设置,但是这样还是不行的,我们可以看出一些目录还是有写权限的,比如database、upload,以及html目录,如果asp文件传到这些目录的话同样是可以威胁网站安全的。
下面我们来看IIS中的设置:
在IIS管理器中左侧的站点列表中,单击站点前面的+符合,可以看到下面有目录的列表,在database目录上单击鼠标右键,属性,将其脚本执行权限去掉,设置为无。Upload目录和html目录同样这样设置。这里需要注意下database目录设置的时候,可以将其目录设置重定向,防止访问者非法下载access数据库。
至此权限设置结束了,关于权限的设置,我将其总结为一句话就是:能执行就不给写,能写就不给执行。如果按照这样的原则设置的话,基本上通过web上传并执行webshell是基本不可能的了,就我目前所了解的方法来说。
by:Neeao[B.C.T]
2007-8-13日上午10时
★ 经典入侵招数
★ 跨站入侵技术详解
★ 入侵几种方法介绍
大型机如何抵御 入侵WEB安全(共5篇)
