Web服务器攻击常利用Web服务器软件和配置中的漏洞，针对这

Web安全分为两大类：

· Web服务器的安全性(Web服务器本身安全和软件配置)。

· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。

Web服务器面临的攻击

Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括：

· 缓冲区溢出

· 文件目录遍历

· 脚本权限

· 文件目录浏览

· Web服务器软件默认安装的示例代码

· Web服务器上运行的其他软件中的漏洞，例如SQL软件

让我们对上诉漏洞依个进行深入地探讨。

1.缓冲区溢出

缓冲区溢出允许恶意代码注入到应用程序，它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的，例如运行木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码，使用C语言编写：

char aTmp[100];

scanf("%s",aTmp);

在第一行中，程序员声明一个长度为100的数组aTmp。在第二行中，scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查，如果给定的输入超过100个字符，就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码，这部分汇编代码能够获得源程序一样的运行权限。

2.目录遍历

URL中的“.../”告诉服务器上溯一个目录，也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”，那么该URL会转到“C:\”目录，攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历，不然所有目录可能都是可访问的。这种情况下，Web服务器将显示“autoexec.bat”文件的内容，或者攻击者选择的任何其他文件。

远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击，成功后我们可以看到如图2的利用iis的webdav漏洞攻击成功后的界面。microsoft的iis可以非常容易的设置头信息，注意：这只针对iis 4.0服务器，并且只能在nt服务器上运行。5.如果服务器多站点,注意给每个站点不同的iis用户.设置好iis脚本权限.例如图片目录就不需要脚本权限.。

3.脚本权限

为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序，管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例，探讨如果管理员将此权限授予C盘下的所有目录将发生什么。

%20%2fc%20dir

首先我们来破译这神秘的URL。某些字符如空格和斜杠，不能出现在URL中，因为URL是限于7 -bit编码的ASCII码。然而，某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示，或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说，字母a表示十六进制中的数字10，f表示15，并使用10表示数字16。一定程度上能防范缓冲区溢出攻击的措施有所以，在前面的示例：

· 空格使用ASCII编码表示为十进制的32，使用十六进制则为20，因此变成%20。

· 斜杠(/)使用ASCII编码表示为十进制的47，使用十六进制则为2f，因此变成%2f。

经Web服务器解析后，就成为下面的URL：

../winnt/system32/cmd.exe /c dir

这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”

文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件，并将结果返回给用户。当然，这是只是一个简单的例子，攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的。

三、磁盘权限设置1.系统盘权限设置c:分区部分：c:/administrators 全部（该文件夹，子文件夹及文件）creator owner 全部（只有子文件来及文件）system 全部（该文件夹，子文件夹及文件）iis_wpg 创建文件/写入数据（只有该文件夹）iis_wpg（该文件夹，子文件夹及文件）遍历文件夹/运行文件列出文件夹/读取数据读取属性创建文件夹/附加数据读取权限c:/documents and settingsadministrators 全部（该文件夹，子文件夹及文件）power users （该文件夹，子文件夹及文件）读取和运行列出文件夹目录读取system全部（该文件夹，子文件夹及文件）c:/program filesadministrators 全部（该文件夹，子文件夹及文件）creator owner全部（只有子文件来及文件）iis_wpg （该文件夹，子文件夹及文件）读取和运行列出文件夹目录读取power users（该文件夹，子文件夹及文件）修改权限system全部（该文件夹，子文件夹及文件）terminal server user （该文件夹，子文件夹及文件）修改权限2.网站及虚拟机权限设置（比如网站在e盘）说明：我们假设网站全部在e盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理。例如环境配置、数据完整性条件设置、权限设置、界面格式参数生成、各种格式文件生成、环境集成、菜单程序文件生成、工作流驱动与控制、xml或html程序文件生成、与数据表定义、应用系统执行程序生成等程序。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。

图1 IIS脚本权限控制台的屏幕截图

那是用于网站访问者运行的命令，而不是可能援助攻击者的软件，如cmd.exe或其他内置操作系统命令。

4.目录浏览

通常情况下，目录浏览是禁用的，但是如果启用它，则它显示该目录中的所有文件，并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此，不建议启用Web 服务器上的目录浏览。

5.默认示例

默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例，如果已经安装了，最好把它们删除掉。

6.其他服务

攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序，而没有其他的服务。运行和其他的软件应部署在单独的服务器上，这样服务器受防火墙保护，只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器，他们也能够干扰或攻陷Web站点。

7.Web服务器软件的固有漏洞

例如用户登录的api缺乏速率限制的话，攻击者可以利用其进行用户名密码暴力破解，再例如某些大量消耗服务器资源的api如果缺乏速率限制，攻击者可以利用其发起拒绝式攻击。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管apache服务器也常常是攻击者的目标，然而微软的internet信息服务(iis)web服务器才是真正意义上的众矢之的。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全 问题严重影响了网站的可访问性，尽管apache服务器也常常是攻击者的目标，然而微软的internet信息服务(iis) web服务器才是真正意义上的众矢之的。

Web服务器的保护

针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。一定程度上能防范缓冲区溢出攻击的措施有采取下列措施将提高Web服务器的安全性。

· 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样，即使攻击者控制了Web 服务器，他们只能获得运行该软件对应的用户账户的权限。这样，攻击计算机或网络上的其他软件可行方案就极为有限了。

· 安装最新的安全补丁并时刻关注漏洞的最新动态。

· 删除默认示例并避免安装类似的示例。

可以有助于保护您的服务器的安全并更好地防御黑客的攻击，通过提供诸如安全配置向导之类的新安全工具增强了安全基础结构，它有助于确保服务器的基于角色的操作的安全、通过数据执行保护提高纵深防御能力并通过后安装安全更新向导提供安全可靠的第一次引导方案，协助 it 人员确保其服务器基础结构的安全并为 windows server 2003 用户提供增强的可管理性和控制。课件制作完成后，往往不是在同一台计算机上放映，如果仅仅将制作好的课件复制到另一台计算机上，而该机又未安装powerpoint应用程序， 或者课件中使用的链接文件或truetype字体在该机上不存在，则无法保证课件的正常播放。，它可以实现在任何u盘、移动硬盘等移动设备上安装应用程序（不仅仅指那些些绿色软件，而是那些必须用到注册表 系统服务的一些功能强大、天天要用的软件，比如ie浏览器、msn、360安全卫士等等），当需要在其他计算机上运行这些程序时，就不需要在这些计算机上重复安装这些应用程序，插上已经安装好此系统的移动硬盘、u盘等移动设备就可以轻松搞定。

· 确保只给需要执行的脚本单独的目录运行的权限。

· 在Web服务器上每个目录中，都提供一个index.html文件，以避免需要目录浏览。

第三方安全产品

商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品：

· 软硬件防火墙

· Web应用防火墙(WAFs)

· 病毒防御软件

· 基于ISAPI的安全产品

· 安全日志

· 反馈分析软件

· 入侵检测系统和入侵检测防御系统

· 漏洞扫描软件

· 输入验证

软硬件防火墙。防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。

Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护，因为他们会解析HTTP会话的实际内容，寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击。

病毒防御软件。Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器，并且漏洞已知，病毒防御软件能够检测到并阻止。

基于ISAPI的安全产品。此类产品截取URL请求，过滤掉可能的攻击，如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品。

反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改，响应将不匹配原始的已知的正常响应，这样能够检测出未经授权的网站更改。

入侵检测与防御。入侵检测系统(IDS)一般用于入侵的后期处理，因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为。

漏洞扫描软件。管理员应运行漏洞扫描程序定期来测试Web服务器的安全性，因为假如扫描仪发现了安全漏洞，攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web，有些是硬件程序，剩下的是纯软件。

validaterequest 是否验证用户输入中有跨站点脚本攻击和sql注入式漏洞攻击，。cmd\输入net config server 可以显示不能配置的下服务器计算机名\服务器注释 \服务器版本服务器处于活动状态 \服务器处于隐藏状态最大登录用户数每个会话打开文件的最大数空闲会话时间chkdsk.exe磁盘检查.chkdsk /r 2000命令控制台中的chkdsk /r命令检查修复系统文件cleanmgr 垃圾整理clipbrd 剪贴板查看器c:boot.ini打开启动菜单compact.exe 显示或改变ntfs分区上文件的压缩状态conime.exeime控制台control.exe控制面板convert.exe ntfs 转换文件系统到ntfsconvlog.exe 转换Ⅱs日志文件格式到ncsa格式cprofile.exe 转换显示模式cscript.exe较本宿主版本csrss.exe客户服务器runtime进程csvde.exe 格式转换程序dcpromo活动目录安装drwtsn32 系统医生diskmgmt.msc磁盘管理器dxdiag 检查directx信息dcomcnfg.exedcom配置属性dcpromo.exe 安装向导ddeshare.exe dde共享debug.exe 检查debugdfrgfat.exefat分区磁盘碎片整理程序dfrgntfs.exentfs分区磁盘碎片整理程序名称服务器的信息。攻击描述：sql注入：通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务。

rg-wg提供丰富的web服务器访问日志与报表，提供病毒检测日志与报表，web攻击检测防御日志与报表，还提供设备运行情况和负载的统计图表，不仅方便管理员对web服务器的运维，还方便管理员对webguard本身的运维。而在被攻击服务器的日志中对攻击者的记录其ip地址是属于一个没有任何攻击行为的“无辜”主机的，而不是攻击者的真正地址。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站相配合，根据可疑的攻击信息，来找到攻击者。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-95362-1.html