网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濋柟鎹愵嚙缁犲湱鎲搁悧鍫濅刊闁轰礁鍟撮弻銊モ攽閸℃ê娅f繝纰樺墲婵炲﹤顫忕紒妯诲闁告稑锕ラ崕鎾绘⒑閸濄儱娅忛柛瀣工閻g兘骞囬妯规睏闂佸湱鍎ら崹鑸垫綇閸儲顥婃い鎰╁灪婢跺嫰鏌熸搴㈠殌闁宠棄顦垫慨鈧柍鈺佸暞閻濇娊姊绘担铏广€婇柛鎾寸箞閹兘濡烽埡浣哄幈閻庡厜鍋撻柛鏇ㄥ厴閹锋椽姊婚崒姘卞缂佸甯¢弫宥夊籍閸喓鍘甸梺鍛婂灟閸婃牜鈧熬鎷�
|
缂傚倸鍊搁崐鎼佸磹閻戣姤鍤勯柛顐f礃閹偤骞栧ǎ顒€濡奸柣顓燁殜楠炴牕菐椤掆偓婵¤偐绱掗埀顒勫磼濞戞氨顔曢梺鐟邦嚟閸婃垵顫濈捄鍝勫殤闁瑰吋鐣崝宥夋偂韫囨稓鍙撻柛銉亽閸儱纾婚柟鎯х-閺嗭箓鏌涢妷銏℃珖鐎规挷绶氬濠氬磼濞嗘埈妲梺姹囧€曞ú銈夈€呮總绋课╅柍鍝勫€稿▓鎴︽⒑閸撴彃浜濇繛鍙夌墵瀹曞綊宕掗悙瀵稿弳闂佺粯娲栭崐鍦偓姘炬嫹
|
濠电姷鏁告慨鐑藉极閹间礁纾绘繛鎴欏灪閸嬨倝鏌曟繛褍鎳庨弳妤呮⒑缁嬭法鐏遍柛瀣〒缁牓宕橀鐣屽帗闂佸憡绻傜€氼剟鍩€椤掍焦鍊愮€规洘绮撻、妤呭礋椤戣姤瀚奸梺鑽ゅТ濞测晝浜稿▎鎾崇闁革富鍘剧壕濂告煠绾板崬澧伴悽顖涚〒缁辨帡寮崒姘亪閻庤娲栭妶鍛婁繆閻戣棄唯鐟滃繐鐣烽崼鏇熲拻濞达綀濮ょ涵鍫曟煕閿濆繒鐣垫鐐茬箻閺佹捇鏁撻敓锟�
|
闂傚倸鍊搁崐椋庣矆娓氣偓楠炴牠顢曚綅閸ヮ剚鐒肩€广儱鎳愰敍鐔兼⒑閸︻厼顣兼繝銏★耿瀹曞綊宕掑☉鏍︾盎闂佸搫绉查崝宀勬倿瑜版帗鐓涢悗锝庝邯閸欏嫰鏌$仦鐐缂佺姵绋掔换婵嬪礃閵婏妇褰撮梻鍌欒兌鏋い鎴濇楠炴劙骞栨担鍝ュ弨婵犮垼娉涢敃锕傚汲閿曞倹鐓曢柕澶堝灪濞呭棙绻涢崼鐔搞仢婵﹨娅i幏鐘诲箵閹烘繂濡烽梻浣虹帛濡繘宕滈悢鑲╁祦闊洦绋掗弲鎼佹煥閻曞倹瀚�
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮闁汇値鍠楅妵鍕冀椤愵澀绮堕梺鎼炲妼閸婂潡寮诲☉銏℃櫆閻犲洦褰冪粻褰掓⒑閹肩偛濡界紒璇茬墦瀵濡堕崶鈺冪厯闁荤姵浜介崝瀣垝閻㈠憡鈷戠紒瀣閹癸綁鏌涢悩宕囧⒌鐎殿喖顭烽弫鎾绘偐閼碱剦妲伴梻渚€娼ф灙闁稿寒鍣e畷鎴﹀箻楠炲じ姹楅梺鍦劋閸ㄨ埖娼忛崼銉︹拺閻犳亽鍔屽▍鎰版煙閸戙倖瀚�
|
IT闂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘e亾妤犵偞鐗犻、鏇㈡晝閳ь剛澹曡ぐ鎺撶厽闁硅揪绲鹃ˉ澶岀棯椤撴稑浜鹃梻鍌欑閹诧繝宕濋弴鐐嶇喐绻濋崒妯峰亾閹烘挾绡€婵﹩鍘鹃崣鍡涙⒑缂佹ɑ绀€闁稿﹤婀遍埀顒佺啲閹凤拷
|
闂傚倸鍊搁崐椋庣矆娴i潻鑰块梺顒€绉撮崒銊ф喐閺冨牆绠栨繛宸簻鎯熼梺闈涱樈閸犳绱炴惔銏㈢瘈闁汇垽娼ф牎闂佺厧缍婄粻鏍ь嚕閸涘﹦鐟归柍褜鍓熷濠氬即閵忕娀鍞跺┑鐘茬仛閸旀牜鐟х紓鍌氬€烽懗鑸靛垔椤撱垹闂柨婵嗩槸閽冪喓鈧箍鍎遍悧婊冾瀶閵娾晜鈷戦柛娑橈攻鐏忎即鏌i悢鍙夋珚闁靛棔绀侀埢搴ㄥ箳閺冨倹婢戞繝鐢靛仦閸ㄥ爼鎮烽敃鈧埢宥夊閵堝棌鎷洪柣鐘充航閸斿苯鈻嶉幇鐗堢厵闁告垯鍊栫€氾拷
|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濈€光偓閸曨剙浠奸梺缁樺灱濡嫰鎮欐繝鍥ㄧ厓闁告繂瀚弸锔剧磼鏉堫偄鐨虹紒杈ㄦ崌瀹曟帒顫濋钘変壕闁归棿鐒﹂崑瀣叓閸ャ劍鈷愰柛娆忕箻閺岋綁濮€閳惰泛缍婇幆灞轿旈崨顔惧弳闂佺粯娲栭崐鍦偓姘炬嫹
|
闂傚倸鍊搁崐宄懊归崶褏鏆﹂柣銏⑶圭粣妤呮煙閹殿喖顣奸柛瀣剁節閺屾洘寰勯崼婵嗗濠电偞鍨惰彜闁衡偓娴犲鍊甸柨婵嗗暙婵$兘鏌涚€n偅宕岀€规洘甯¢幃娆撳蓟閵夈儲鏆梻鍌欑閹碱偄煤閵娾晛纾婚柣鎰劋閸婂灚銇勯幒鍡椾壕闂佸疇顫夐崹鍧楀箖濞嗘挸鐭楀鑸瞪戦敍渚€姊绘担瑙勫仩闁告柨閰e畷浼村冀瑜滈崵鏇炩攽閻樺磭顣查柡鍛倐閺屻劑鎮ら崒娑橆伓
|
   
专 题 栏 目
 婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柟闂寸绾剧粯绻涢幋鐐垫噧缂佸墎鍋ら弻娑㈠Ψ椤旂厧顫╃紓浣插亾闁割偆鍠撶弧鈧梻鍌氱墛缁嬫帡鏁嶉弮鍫熺厾闁哄娉曟禒銏ゆ婢舵劖鐓ユ繝闈涙閸f椽鎮归幇銊ュ⒉闁靛洤瀚伴崺锟犲礃閵娿儱绠i梻浣筋嚃閸犳盯锝炴径鎰闁告稒娼欐导鐘绘煏婢舵ê鐏g紒鈧繝鍕=闁稿本鐟чˇ锔姐亜閿旇鐏﹂柟顔矫埞鎴犫偓锝庝簽閸欌偓濠电姰鍨奸崺鏍礉閺囩姷涓嶅┑鐘崇閸婂灚绻涢幋鐑嗕痪妞ゅ繐妫楅ˉ姘舵煕閹邦剚鈻曟繛鎾愁煼閺屾洟宕煎┑鍫㈩唺闁诲簼绲婚崑鎰閹烘鏁婇柣锝呮湰閸Q冾渻閵堝棙绌跨紓宥勭閻g兘骞囬悧鍫濅簻闂佹儳绻楅~澶婎熆閹达附鈷掑ù锝呮啞閹牊绻涚仦鍌氬鐎规洑鍗抽獮妯肩磼濡桨绮ч梻浣芥硶閸o箓骞忛敓锟�
相 关 文 章

摇一摇变化你的大头贴
怎样查找你的电脑的出生
菜鸟巧用Winrar伪装你的
让Word 2010满足你的个性
Core i3:掀起你的盖头来
美图秀秀P图让你的QQ空间
Intel芯片组检测工具3.2
惊奇!把你的摄像头变成
让Firefox 2.0永远记住你
把QQ珊瑚虫好友搬出你的

 
检测你的Web系统有多少安全漏洞           
检测你的Web系统有多少安全漏洞
作者:陈鹏 文章来源:eNet 点击数:99 更新时间:2009-9-11 23:31:42
 




 

Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全的Web系统一直是人们的目标。一个实用的方法是,建立比较容易实现的相对安全的系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类安全辅助系统。

  漏洞扫描就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作为一种保证Web信息系统和网络安全必不可少的手段,我们有必要仔细研究利用。值得注意的是,漏洞扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。

  四种漏洞扫描技术

  漏洞扫描通常采用两种策略,第一种是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机之上,对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查;而主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描,利用主动式的策略扫描称为网络安全扫描。

  漏洞扫描有以下四种检测技术:

  1.基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。

  2.基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括口令解密、把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。

  3.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。

  4.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。

  网络漏洞扫描

  在上述四种方式当中,网络漏洞扫描最为适合我们的Web信息系统的风险评估工作,其扫描原理和工作原理为:通过远程检测目标主机TCP/IP不同端口的服务,记录目标的回答。通过这种方法,可以搜集到很多目标主机的各种信息(例如:是否能用匿名登录,是否有可写的FTP目录,是否能用Telnet,httpd是否是用root在运行)。

  在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。

  在匹配原理上,网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。

  所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。例如,在对TCP80端口的扫描中,如果发现/cgi-bin/phf/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。同时应当说明的是,基于规则的匹配系统有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁是来自未知的安全漏洞,这一点和PC杀毒很相似。

  这种漏洞扫描器是基于浏览器/服务器(B/S)结构。它的工作原理是:当用户通过控制平台发出了扫描命令之后,控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。通过分析被扫描主机返回的信息进行判断,扫描模块将扫描结果返回给控制平台,再由控制平台最终呈现给用户。

  另一种结构的扫描器是采用插件程序结构。可以针对某一具体漏洞,编写对应的外部测试脚本。通过调用服务检测插件,检测目标主机TCP/IP不同端口的服务,并将结果保存在信息库中,然后调用相应的插件程序,向远程主机发送构造好的数据,检测结果同样保存于信息库,以给其他的脚本运行提供所需的信息,这样可提高检测效率。如,在针对某FTP服务的攻击中,可以首先查看服务检测插件的返回结果,只有在确认目标主机服务器开启FTP服务时,对应的针对某FTP服务的攻击脚本才能被执行。采用这种插件结构的扫描器,可以让任何人构造自己的攻击测试脚本,而不用去了解太多扫描器的原理。这种扫描器也可以用做模拟黑客攻击的平台。采用这种结构的扫描器具有很强的生命力,如著名的Nessus就是采用这种结构。这种网络漏洞扫描器的结构如图2所示,它是基于客户端/服务器(C/S)结构,其中客户端主要设置服务器端的扫描参数及收集扫描信息。具体扫描工作由服务器来完成。

  漏洞扫描器的发展趋势

  值得我们注意的是漏洞扫描软件从最初的专门为UNIX系统编写的一些只具有简单功能的小程序,发展到现在,已经出现了多个运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的发展趋势主要有以下几点,我们可以根据实际Web信息系统风险评估的需求进行选用:

  1.使用插件或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。

  2.使用专用脚本语言。这其实就是一种更高级的插件技术,用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学,往往用十几行代码就可以定制一个简单的测试,为软件添加新的测试项。脚本语言的使用,简化了编写新插件的编程工作,使扩充软件功能的工作变得更加容易,也更加有趣。

  3.由漏洞扫描程序到安全评估专家系统。最早的漏洞扫描程序只是简单地把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。而当前较成熟的扫描系统都能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法。不足之处是对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞,还能够智能化地协助网络信息系统管理人员评估本网络的安全状况,给出安全建议,成为一个安全评估专家系统。

  Web系统的风险等级评估

  在实现了对Web信息系统的安全扫描后,便可根据扫描结果,对Web信息系统的安全性能进行评估,从而给出Web信息系统的风险状况。这里,风险评估的依据是根据扫描结果,根据Web信息系统所具有的漏洞数目及漏洞的危害程度,将Web信息系统的安全状态进行分级。

  划分的风险评估级别如下:

  l.A级:扫描结果显示没有漏洞,但这并不表明系统没有漏洞,因为有许多漏洞是尚未发现的,我们只能针对已知的漏洞进行测试。

  2.B级:具有一些泄漏服务器版本信息之类的不是很重要内容的漏洞,或者提供容易造成被攻击的服务,如允许匿名登录,这种服务可能会造成许多其它漏洞。

  3.C级:具有危害级别较小的一些漏洞,如可以验证某账号的存在,可以造成列出一些页面目录、文件目录等,不会造成严重后果的漏洞。

  4.D级:具有一般的危害程度的漏洞。如拒绝服务漏洞,造成Web信息系统不能正常工作;可以让黑客获得重要文件的访问权的漏洞等。

  5.E级:具有严重危害程度的漏洞。如存在缓冲区溢出漏洞,存在木马后门,存在可以让黑客获得根用户权限或根用户的shell漏洞,根目录被设置一般用户可写等一些后果非常严重的漏洞。

  另外,我们需要强调的是:漏洞的产生主要源于Web信息系统的不正当配置以及其提供的服务自身的弱点。前面我们详细介绍了如何使用漏洞扫描来进行风险评估。其实还有一个非常重要的问题我们不能忽略,那就是需要检测Web信息系统到底提供了哪些服务,因为它直接关系到系统的漏洞的产生以及危害。一方面,Web信息系统为用户提供了多种优质的网络服务,包括Http、Ftp、Smtp、Pop3等;另一方面,服务的增多意味着更多的风险。每种服务本身都必然存在着某些缺陷,而这些缺陷很有可能被高明的黑客利用来对系统进行攻击。所以,提供特定服务的服务器应该尽可能开放提供服务必不可少的端口,而将与服务器服务无关的服务关闭,比如:一台作为www和ftp服务器的机器,应该只开放80和25端口,而将其他无关的服务如关掉,以减少系统漏洞。

  因此,我们需要针对Web系统的实际用途使用相关的工具来对系统开放的网络服务及其端口等进行有效地检测和适时的处理,以及时关闭那些不必需要的服务和端口,以免为黑客和不法用户利用,从而侵入信息系统。显然,这是一项非常艰巨和长期的工作,管理者们需要在技术和管理两个层面上投入相当的物力和财力,从而保证Web信息系统的安全性。

【责任编辑 王凡】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La