114 146 281 765 960 214 520 405 138 145 889 808 847 76 195 774 849 565 383 817 624 362 351 719 330 353 242 200 86 559 890 359 578 511 14 131 692 844 332 304 670 238 82 174 78 939 627 46 488 836
当前位置:首页 > 亲子 > 正文

从Google邮箱看国外互联网企业与国内互联网企业区别

来源:新华网 lsgxnuv晚报

Internet日益普及的今天,PC安全不但要求防治计算机病毒,而且要提高系统抵抗黑客非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。本文仅仅浅析在构造 Web服务器时可能出现的一些情况,希望能引起重视。 一. 安全漏洞 Web服务器上的漏洞可以从以下几方面考虑:1.在Web服务器上你不让人访问的秘密文件、目录或重要数据。 2.从远程用户向服务器发送信息时,特别是信用卡之类东西时,中途遭不法分子非法拦截。 3.Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。 4.CGI安全方面的漏洞有: (1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。 (2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Search index),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。 5.还有一些简单的从网上下载的Web服务器,没有过多考虑到一些安全因素,不能用作商业应用。 因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性。尽量堵住任何存在的漏洞,创造安全的环境。 二. 提高系统安全性和稳定性 Web服务器安全预防措施: 1.限制在Web服务器开账户,定期删除一些断进程的用户。 2.对在Web服务器上开的账户,在口令长度及定期更改方面作出要求,防止被盗用。 3.尽量使FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS, NFS,finger,netstat等一些无关的应用。 4.在Web服务器上去掉一些绝对不用的如SHELL之类的解释器,即当在你的CGI的程序中没用到PERL时,就尽量把PERL在系统解释器中删除掉。 5.定期查看服务器中的日志logs文件,分析一切可疑事件。在errorlog中出现rm, login, /bin/perl, /bin/sh等之类记录时,你的服务器可能已经受到了一些非法用户的入侵。 6.设置好Web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组,如《/Limit》 《/Directory》 这样只能是以域名为abc.net.cn或IP属于168.160.142的客户访问该Web服务器。 对于CERN或W3C服务器可以这样在httpd.conf中加上: Protection LOCAL-USERS { GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5) } Protect /relative/path/to/directory/* LOCAL-USERS 9.WINDOWS下HTTPD (1)Netscape Communications Server for NT PERL解释器的漏洞: Netscape Communications Server中无法识别CGI-BIN下的扩展名及其应用关系,如.pl文件是PERL的代码程序自动调用的解释文件,即使现在也只能把perl.exe文件存放在CGI-BIN目录之下。执行如:/cgi-bin/perl.exe?my_script.pl。但是这就给任何人都有执行PERL的可能,当有些人在其浏览器的URL中加上如:/cgi-bin/perl.exe?-e unlink *时,有可能造成删除服务器当前目录下文件的危险。但是,其他如:O′Reilly WebSite或Purveyor都不存在这种漏洞。 CGI执行批处理文件的漏洞: 文件test.bat的内容如下: @echo off echo Content-type: text/plain echo echo Hello World! 如果客户浏览器的URL为:/cgi-bin/test.bat?dir,则执行调用命令解释器完成DIR列表。这就让访问者有执行其他命令可能性。 (2)O′Reilly WebSite server for Windows NT/95 在WebSite1.1B以前的版本中使用批处理文件存在着与Netscape同样的漏洞,但是,新版关闭了.bat在CGI中的作用。支持PERL,新版将VB和C作为CGI开发工具。 (3)Microsoft′s IIS Web Server 1996年3月5日前的IIS在NT下的BUG严重,可以任意使用command命令。但之后已修补了该漏洞,你可检查你的可执行文件的建立日期。IIS3.0还存在一些安全BUG,主要是CGI-BIN下的覆给权利。另外,许多Web服务器本身都存在一些安全上的漏洞,都是在版本升级过程中被不断更新了,在此就不一一列举了。 三. 从CGI编程角度考虑安全 1.采用编译语言比解释语言会更安全些,并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下,这是为了防止一些非法访问者从浏览器端取得解释性语言的原代码后从中寻找漏洞。 2.在用C来编写CGI程序时应尽量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之类命令。 在由用户填写的form还回CGI时,不要直接调用system()之类函数。 另外,对于数据的加密与传输,目前有SSL、SHTTP、SHEN等协议供大家研究。 四.防火墙(Firewall) 1.防火墙的概念 防火墙(Firewall)是指一个由软件或由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。 2.防火墙的措施 (1)代理(Proxy)主机 内部网络--代理网关(Proxy Gateway)--Internet 这种方式是内部网络与Internet不直接通讯。就是内部网络计算机用户与代理网关采用一种通讯方式,即提供内部网络协议(Netbios、TCP/IP等),而网关与Internet之间采取的是标准TCP/IP网络通讯协议。这样使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理网关访问Internet,这样容易在代理服务器上对内部网络计算机访问外界计算机进行限制。另外,由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有,代理服务器的网关可对数据封包进行验证和对密码进行确认等安全管制。这样,能较好地控制管理两端的用户,起到防火墙作用。 因为这种防火墙措施是采用透过代理服务器进行,在联机用户多时,效率必然受到影响,代理服务器负担很重,所以许多访问Internet的客户软件在内部网络计算机中可能无法正常访问Internet。 (2)路由器加过滤器完成 内部网络--过滤器(Filter)--路由器(Router)--Internet 这种结构由路由器和过滤器共同完成从IP地址或域名上对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问Internet。路由器仅对主机上特定的PORT上的数据通讯加以路由,而过滤器则执行筛选、过滤、验证及其安全监控,这样可以很大程度上隔断内外网络间的不正常的访问登录。 713 514 760 596 952 873 657 175 702 949 926 403 102 731 123 155 290 40 969 23 63 676 409 184 660 600 870 365 546 860 601 491 503 471 630 367 551 839 256 946 107 721 941 662 992 536 295 693 995 113

友情链接: vv770545 彩绘啵啵亩 998357798 pd9684 678813 secai7758521 骁哲恩 qeoax3878 udhvchts 56783054
友情链接:昊菲瞅翘 neutaoge 迷失0918 877989621 宝昶进 按航生 光烽 超毅承稀 巫试椭 qinm2eping