Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，針對這些漏洞最佳做法是遵循一些方法搭建并運行Web服務器，本文詳解了Web服務器保護的一些方法。

Web安全分為兩大類：

· Web服務器的安全性(Web服務器本身安全和軟件配置)。

· Web應用程序的安全性(在Web服務器上運行的Java、 ActiveX、PHP、ASP代碼的安全)。

Web服務器面臨的攻擊

Web服務器攻擊利用Web服務器軟件和配置中常見的漏洞。這些漏洞包括：

· 緩沖區(qū)溢出

· 文件目錄遍歷

· 腳本權限

· 文件目錄瀏覽

· Web服務器軟件默認安裝的示例代碼

· Web服務器上運行的其他軟件中的漏洞，例如SQL數(shù)據(jù)庫軟件

讓我們對上訴漏洞依個進行深入地探討。

1.緩沖區(qū)溢出

緩沖區(qū)溢出允許惡意代碼注入到應用程序，它損壞應用程序的堆棧——內(nèi)存中存儲應用程序代碼的一個地方——并用不同的代碼代替原始代碼的一部分來實現(xiàn)攻擊者的目的，例如運行特洛伊木馬程序或遠程控制應用程序。以下是緩沖區(qū)溢出漏洞的一個簡單示例代碼，使用C語言編寫：

char aTmp[100];

scanf("%s",aTmp);

在第一行中，程序員聲明一個長度為100的數(shù)組aTmp。在第二行中，scanf方法從控制臺讀取數(shù)據(jù)存到aTmp數(shù)組。代碼不會檢查%s 變量是否能夠容納輸入數(shù)據(jù)的大小。因為程序員編碼過程不對輸入字符串的大小進行檢查，如果給定的輸入超過100個字符，就會造成緩沖區(qū)溢出。一個精心構造構的輸入中可能包含匯編代碼，這部分匯編代碼能夠獲得源程序一樣的運行權限。

2.目錄遍歷

目錄遍歷是指訪問到了不是原先設想或允許的目錄(或文件夾)。例如，微軟IIS Web站點的默認文件夾為C:\inetpub，攻擊者可使用的目錄遍歷漏洞，在該文件夾之外去讀取他們本不該訪問的文件。詳細來說，假如有一個網(wǎng)址為“www.bad.com”的網(wǎng)站，其服務器代碼中包含目錄遍歷漏洞。攻擊者通過輸入以下URL就可以利用該漏洞：

http://www.bad.com/../autoexec.bat

URL中的“.../”告訴服務器上溯一個目錄，也就是“C:\”目錄(Web 服務器可以將斜杠轉(zhuǎn)換為反斜杠)。所以如果IIS服務器默認目錄為“c:\inetpub”，那么該URL會轉(zhuǎn)到“C:\”目錄，攻擊者將能夠看到“c:\autoexec.bat”文件。除非將服務器配置好了避免目錄遍歷，不然所有目錄可能都是可訪問的。這種情況下，Web服務器將顯示“autoexec.bat”文件的內(nèi)容，或者攻擊者選擇的任何其他文件。

值得注意的是:我們已經(jīng)使用 IIS 作為示例;但是，此漏洞的利用不是針對IIS服務器的，在其他的Web 服務器上也有目錄遍歷漏洞。#p#

3.腳本權限

為了運行通用網(wǎng)關接口(CGI)、Perl或者其他服務端應用程序，管理員必須授予對服務器端應用程序所在的目錄以可執(zhí)行權限。一些管理員給錯誤位置授予此權限(通常是因為他們不明白這么做會帶來的問題)。讓我們看看下面的示例，探討如果管理員將此權限授予C盤下的所有目錄將發(fā)生什么。

http://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir

首先我們來破譯這神秘的URL。某些字符如空格和斜杠，不能出現(xiàn)在URL中，因為URL是限于7 -bit編碼的ASCII碼。然而，某些情況下還是會使用到這些字符。可行的辦法是使用其十六進制的字符來表示，或者使用類似ASCII的base 16編碼。Base 16 使用字母a、b、c、d、e 和f來表示大于9的數(shù)字。舉例來說，字母a表示十六進制中的數(shù)字10，f表示15，并使用10表示數(shù)字16。所以，在前面的示例：

· 空格使用ASCII編碼表示為十進制的32，使用十六進制則為20，因此變成%20。

· 斜杠(/)使用ASCII編碼表示為十進制的47，使用十六進制則為2f，因此變成%2f。

經(jīng)Web服務器解析后，就成為下面的URL：

../winnt/system32/cmd.exe /c dir

這是要執(zhí)行“cmd.exe”并告訴它執(zhí)行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”

文件夾中的命令外殼。“Dir”命令列出當前目錄中的所有文件，并將結果返回給用戶。當然，這是只是一個簡單的例子，攻擊者可以執(zhí)行更復雜的命令以達到刪除、運行或修改Web服務器上數(shù)據(jù)的目的。

圖1是IIS目錄權限的配置的截屏。最佳做法是只給包含需要執(zhí)行的服務端應用的文件夾設置可執(zhí)行的權限，而不是包含可被攻擊者利用的軟件的文件夾，例如包含“cmd.exe”或者其他內(nèi)置的操作系統(tǒng)命令。

圖1 IIS腳本權限控制臺的屏幕截圖

那是用于網(wǎng)站訪問者運行的命令，而不是可能援助攻擊者的軟件，如cmd.exe或其他內(nèi)置操作系統(tǒng)命令。#p#

4.目錄瀏覽

通常情況下，目錄瀏覽是禁用的，但是如果啟用它，則它顯示該目錄中的所有文件，并允許瀏覽的子目錄。有時知道一個文件存在可以幫助攻擊者利用Web 服務器上文件和程序的漏洞。為此，不建議啟用Web 服務器上的目錄瀏覽。

5.默認示例

默認示例是包含在Web 服務器軟件中并在服務器軟件安裝時默認安裝的應用程序。一些默認安裝的示例包含安全漏洞。針對這些漏洞保護的最佳辦法是不要安裝示例，如果已經(jīng)安裝了，最好把它們刪除掉。

6.其他服務

攻擊者可以通過攻擊在Web服務器上運行的其他服務來攻陷Web服務器。這些服務包括FTP、SMTP、POP3、SQL服務器和NetBIOS服務。防止此類攻擊的最佳方法是減少“受攻擊面”。關閉所有運行在Web服務器操作系統(tǒng)上不必要的服務并對剩下的服務進行安全地配置。最佳做法是使 Web服務器只有一個Web服務程序，而沒有其他的服務。運行數(shù)據(jù)庫和其他的軟件應部署在單獨的服務器上，這樣服務器受防火墻保護，只有Web服務器易受Web攻擊。如果攻擊者設法利用其他服務的漏洞來攻擊服務器，他們也能夠干擾或攻陷Web站點。

7.Web服務器軟件的固有漏洞

每個Web服務器軟件，包括IIS和Apache，由于缺乏安全的編碼技術，該軟件的程序員已經(jīng)提供了內(nèi)置漏洞。例如，IIS的.htr漏洞，允許攻擊者看到駐留在服務器上的文件的內(nèi)容。幾乎每周都會發(fā)布主要的Web服務器軟件平臺中的新漏洞。

Web服務器的保護

針對上述漏洞最佳做法是遵循以下建議搭建并運行Web服務器。采取下列措施將提高Web服務器的安全性。

· 給Web服務器服務或守護程序配置能夠使它正常運行最少的權限。這樣，即使攻擊者控制了Web 服務器，他們只能獲得運行該軟件對應的用戶賬戶的權限。這樣，攻擊計算機或網(wǎng)絡上的其他軟件可行方案就極為有限了。

· 安裝最新的安全補丁并時刻關注漏洞的最新動態(tài)。

· 刪除默認示例并避免安裝類似的示例。

· 通過刪除不需要的應用程序，安全配置同一臺計算機上的其他網(wǎng)絡服務，確保操作系統(tǒng)已安裝最新的安全補丁來保證承載Web服務器的計算機的安全。

· 確保只給需要執(zhí)行的腳本單獨的目錄運行的權限。

· 在Web服務器上每個目錄中，都提供一個index.html文件，以避免需要目錄瀏覽。#p#

第三方安全產(chǎn)品

商業(yè)和免費的產(chǎn)品也可以幫助抵御與Web服務器相關的不同漏洞。主要有以下產(chǎn)品：

· 軟硬件防火墻

· Web應用防火墻(WAFs)

· 病毒防御軟件

· 基于ISAPI的安全產(chǎn)品

· 安全日志

· 反饋分析軟件

· 入侵檢測系統(tǒng)和入侵檢測防御系統(tǒng)

· 漏洞掃描軟件

· 輸入驗證

軟硬件防火墻。防火墻過濾掉不屬于正常 Web會話的流量。所有Web服務器都應配備技術先進的第四代防火墻。第四代防火墻可以區(qū)分出普通的Web瀏覽器合法的流量和攻擊者的惡意攻擊流量。直接部署在Web服務器上的防火墻軟件可以為服務器提供額外的防護。

Web應用防火墻。Web應用防火墻(WAFs)是具有Web流量深度檢查功能的設備。WAFs能夠提供基于內(nèi)容的攻擊的良好保護，因為他們會解析HTTP會話的實際內(nèi)容，尋找與正常使用模式不匹配的已知錯誤或異常行為。這些設備可以是非常有效的防范大多數(shù)攻擊。

病毒防御軟件。Web服務器上應該安裝防御毒軟件。如果攻擊者利用安全漏洞企圖控制Web 服務器，并且漏洞已知，病毒防御軟件能夠檢測到并阻止。

基于ISAPI的安全產(chǎn)品。此類產(chǎn)品截取URL請求，過濾掉可能的攻擊，如緩沖區(qū)溢出。Web服務器供應商通常會免費提供基于ISAPI的安全產(chǎn)品。

反饋分析軟件。反饋分析軟件解析Web服務器的響應并與已知的正常網(wǎng)站響應進行比較。如果網(wǎng)站含有惡意代碼或者被修改，響應將不匹配原始的已知的正常響應，這樣能夠檢測出未經(jīng)授權的網(wǎng)站更改。

入侵檢測與防御。入侵檢測系統(tǒng)(IDS)一般用于入侵的后期處理，因為系統(tǒng)保留事件的詳細記錄。而入侵預防系統(tǒng)(IDP)能夠阻止某些已知的不良行為。

漏洞掃描軟件。管理員應運行漏洞掃描程序定期來測試Web服務器的安全性，因為假如掃描儀發(fā)現(xiàn)了安全漏洞，攻擊者很可能也會發(fā)現(xiàn)同樣的漏洞。有很多免費或商業(yè)的漏洞掃描軟件。其中有些是基于Web，有些是硬件程序，剩下的是純軟件。

輸入驗證。輸入驗證產(chǎn)品檢查提交到Web站點每個數(shù)據(jù)是否存在異常、SQL注入命令或緩沖區(qū)溢出攻擊代碼。

安全日志。安全日志可以提供Web服務器攻擊入侵的證據(jù)。除了存放在在 Web 服務器上，還應該將它們存儲網(wǎng)絡上安全的位置以防止攻擊者更改日志或刪除記錄。