来自 新葡亰运维 2019-11-06 09:27 的文章
当前位置: 澳门新葡亰app > 新葡亰运维 > 正文

阳泉本领区,William的外号)抛出了大伙儿不足为道

Apache HTTP服务器是世界上最常见的Web服务器软件,这点是明摆着的。据最近一项调查显示,全世界运行Apache HTTP的网站数量超过4.2亿个。鉴于数字如此惊人,我们自然很好奇地想了解Apache背后的更多详情。

                                                             作者:玄魂

我们Pingdom网站的人员都是Apache HTTP Web服务器的拥趸,因为我们用它来运行我们的主网站Pingdom.com。所以我们逮住机会、兴致勃勃地采访William A. Rowe Jr.也就不足为奇了,前不久他还在完全志愿者组成的Apache软件基金会担任HTTP服务器项目副总裁一职。他在近12年一直效力于Apache软件基金会,担任过不同岗位,包括2007年至2009年任职基金会董事。

本系列导航

一种错误的想法:开源不大安全

安全技术区 

首先,我们向Bill(注:William的昵称)抛出了人们通常所持的这个想法:由于在Apache HTTP服务器等开源项目中,源代码向公众开放,所以这意味着开源不大安全。这种观点认为,实际上,谁要是想钻运行开源软件的系统的空子,只要查看代码,就能弄清楚如何闯入进去。另一方面,闭源软件天生要来得更安全,因为代码不是谁都可以随随便便查看的。

前言

图片 1 
William A. Rowe Jr.,软件基金会HTTP服务器项目前副总裁

   web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现。所以如果您能完全理解那本书可以跳过本文章。

Bill答复:“很显然,这是一种错误的认识。”

通过前面的讨论我们已经知道了如何判断web服务器的类型信息, 从这一节开始我们一起讨论web平台的缺陷攻击。这里说的缺陷是服务器自身的缺陷不是管理员的配置造成的缺陷。对于这种缺陷只能通过升级或者打补丁来避免。当然对于不同的服务器及存在的漏洞,我在这一节所罗列出来的都是过去时,应该都有了解决的方案。目的不是教你如何攻击web平台,而是了解什么是攻击web平台。

他继续说:“公开披露自己的部分源代码,这其实是像微软这些闭源产品开发公司最不担心的。它们更加担心的是有人用间谍手段刺探源代码,或者通过渗透测试发现软件缺陷(bug);这种情况下,它们不知道自己的源代码在接受审查。”

正文

他解释,如今,针对软件的安全审查在很大程度上实现了自动化。Bill说:“谁都可以进行这样的审查;由于审查是自动化的,所以可以重现。”

7.1     常用web服务器简介

Apache HTTP服务器用户社区经常被邀请进行这样的审查,自动扫描代码,一旦发现了异常,就提醒相应的项目组。发现的异常有可能是明确的安全漏洞,也可能不是明确的安全漏洞,但是应予以关注,因为它可能会成为一个明确的安全漏洞。

(1)Apache

Bill的观点是,黑客针对二进制代码做这样的事不是重大问题,无论二进制代码是用闭源代码编写的,还是用开源代码编写的。他表示,简而言之,坏人在继续捣鼓闭源产品,正如他们在以同样的手法捣鼓开源产品。

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。

针对逆向工程和反编译等方面的牢骚在安全领域其实算不得什么。

Apache源于NCSAhttpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。Apache取自"a patchy server"的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。

他补充说:“针对逆向工程和反编译等方面的牢骚在安全领域其实算不得什么;实际上,对研究安全人员来说只会适得其反。安全研究人员在努力化解问题。要是没有源代码,也就缺乏必要的透明度了,那样他们无法搞清楚可以采取什么化解措施,一开始就避免问题,或者无法搞清楚他们已经发现的漏洞有什么样的实际影响。”

(2)IIS

你可能会认为,Bill为其中一个比较知名的开源软件项目工作了这么久,其立场肯定会偏袒一方。别犯想当然的毛病,那样很容易摈弃他的观点。

是英文Internet Information Server的缩写,译成中文就是"Internet信息服务"的意思。它是微软公司主推的服务器,最新的版本是Windows2008里面包含的IIS 7,IIS与Window Server完全集成在一起,因而用户能够利用Windows Server和NTFS(NT File System,NT的文件系统)内置的安全特性,建立强大,灵活而安全的Internet和Intranet站点。

他的观点是,闭源软件实际上妨碍了安全研究人员了解安全漏洞的范围。Bill表示,如何找出安全漏洞在开源与闭源之间区别不是很大。这往往就是这个过程:建立任意模式,然后看看会不会引起未预期的后果。

(3)GFE

HTTP服务器是世界上最常见的Web服务器软件,这点是明摆着的。据最近一项调查显示,全世界运行Apache HTTP的网站数量超过4.2亿个。鉴于...

Google的web服务器,用户数量激增。目前紧逼iis。

(4)Nginx

不仅是一个小巧且高效的HTTP服务器,也可以做一个高效的负载均衡反向代理,通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。

(5)Lighttpd

是由德国人 Jan Kneschke 领导开发的,基于BSD许可的开源WEB服务器软件,其根本的目的是提供一个专门针对高性能网站,安全、快速、兼容性好并且灵活的web server环境。具有非常低的内存开销,CPU占用率低,效能好,以及丰富的模块等特点。Lighttpd 是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI, CGI, Auth, 输出压缩(output compress), URL重写, Alias等重要功能。

(6)Zeus

是一个运行于Unix下的非常优秀的Web Server,据说性能超过Apache,是效率最高的Web Server之一。

(7)Sun的Java系统Web服务器

也就是以前的Sun ONE Web Server。主要出现在那些运行Sun的Solaris操作系统的关键任务级Web服务器上。它最新的版本号是6.1,可以支持x86版本Solaris,Red Hat Linux,HP-UX 11i, IBM AIX,甚至可以支持Windows,但它的大多数用户都选择了SPARC版本的Solaris操作系统。

(8)Resin

提供了最快的jsp/servlets运行平台。在java和javascript的支持下,Resin可以为任务灵活选用合适的开发语言。Resin的一种先进的语言XSL(XML stylesheet language)可以使得形式和内容相分离。

(9)Jetty

是一个开源的servlet容器,它为基于Java的web内容,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。

(10)BEA WebLogic

是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 BEA WebLogic Server拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。

(11)Tomcat

是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

 

7.2web服务器漏洞攻击常用软件

 

(1)Metasploit框架是一个用于开发,测试和启动攻击代码的开源平台。我们可以利用它开发攻击代码也可以利用提供好的代码发动攻击。它具有非常好的扩展性。在我们可以得到Metasploit的所有信息,可以下载不同平台下的版本安装。

图片 2

(2)N-Stealth

N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有"30000个漏洞和漏洞程序"以及"每天增加大量的漏洞检查",不过这种说法令人质疑。还要注意,实际上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth主要为Windows平台提供扫描,但并不提供源代码。

图片 3

(3)Burp suite

允许攻击者结合手工和自动技术去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用从而发动攻击。

图片 4

(4)**Nikto**

是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。Nikto是网管安全人员必备的WEB审计工具之一。

图片 5

(5)Paros proxy

基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器,例如SQL注入和跨网站脚本等。

(6)其他

WebScarab

WebInspect

Whisker/libwhisker

Wikto

Acunetix Web Vulnerability Scanner

Watchfire AppScan

剑煞BetaV7.6.8 Web综合信息检测入侵工具

图片 6

本文由澳门新葡亰app发布于新葡亰运维,转载请注明出处:阳泉本领区,William的外号)抛出了大伙儿不足为道

关键词: