通行证: 用户 密码 域名空间  下载中心 社区论坛 信息公告 my小屋
联系我们
设为首页
加入收藏

 

qq,asp,php,jsp,xml,sql,.net,编程 程序 网页图象 建站经验 私服
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿
论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图
专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版
社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务
当前位置:首页>>服 务 器>>win服务器>>正文 新版上线![旧版]
注:打开慢时请稍等
web服务器的安全和攻击防范(5)

http://www.iyit.net  日期:2006-5-6 11:35:40  来源:天极网  点击:
参加讨论私有数据的安全

  我们要讨论的第二类安全问题涉及到服务器公用目录下的私有数据。许多web空间提供商提供的只有“web空间”,它们会把用户ftp目录的根映射到web服务器的根。也就是说,用户可以通过ftp以“/”访问服务器目录“/home/www/servers/www.customer.com/”,同时任何人可以通过url“http://www.customer.com/”访问它,用ftp方式保存的“/password”文件可以通过url“http://www.customer.com/password”访问。如果用户web应用需要保存一些私有的、不能从web访问的数据,则根本无法找到满足要求的位置。

  许多web商店把订单日志和调试输出写入一个或多个日志文件,或者用配置文件来保存密码和商品数据。如果这些数据保存到页面文档根目录之下,那么它们就有相应的url而且可以通过web访问。此时攻击者所要做的只是猜出这些文件的名字。只要了解了20种主流在线商店系统的默认设置并正确地识别出目标网站所用的系统,要猜出这些文件名字是相当简单的。

  如果web服务器既提供私有数据存储又提供公用页面目录,上述问题就不会再出现。例如在这些方案中,ftp根目录“/”映射到“/home/www/servers/www.customer.com/”,但页面文档的根目录却在它的下一级目录“/home/www/servers/www.customer.com/pages”,可以通过ftp以“/pages”形式访问。在这种目录配置下,用户可以另外创建和页面文档根目录平行的目录,然后把敏感数据放到这些目录中。由于这些目录可以通过ftp访问,但不能通过http访问,所以它们是无法通过web访问的。

  如果系统没有采用上述根目录分离的目录结构,我们还有一种解决问题的办法,即在页面文档根目录下创建专用的私有数据存储目录,如“/shop”,然后在这个目录中创建.htaccess文件,通过.htaccess文件拒绝所有http访问(适用于apache服务器):



$ cat /shop/.htaccessorder deny, allowdeny from all

  该目录中的文件只能通过ftp传输,因为ftp传输忽略.htaccess文件。但与前面采用页面文档根目录之外独立目录的方法相比,这种方法的风险更多一点,因为如果服务器管理员在服务器主配置文件中意外地关闭了该目录必不可少的“allowoverride limit”优先权,这种保护将不再有效。

  上述问题还有各种变化形式。如果一台机器上运行着多个客户网站,那么客户就能够欺骗机器,访问在其自己目录层次之外的路径,例如“/home/www/servers/www.customer.com”目录之外的文件。通常,只需创建各种符号链接(指向保存在用户虚拟服务器之外的文件)就有可能实现这一点。最有可能成为链接目标的是包含文件和私有密匙,这是为了获取数据库密码和其他必须保密的信息(为了让应用能够正常运行这些信息往往以明文形式保存在这类文件中)。其他可能的攻击目标还包括保存在非公用目录中的订单记录和其他有用数据。

编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇:web服务器的安全和攻击防范(4)
下一篇:web服务器的安全和攻击防范(6)
转载请注明来源:www.iyit.net
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
 相关文章
一个安全web服务器的安装(三) 一个安全web服务器的安装(二) 一个安全web服务器的安装(一)
浅谈linux优化及安全配置的个人体会 linux服务器安全小技巧 浅谈linux操作系统的优化及安全
构建网络安全长城之烽火台的建立(8) 构建网络安全长城之烽火台的建立(7) 构建网络安全长城之烽火台的建立(6)
构建网络安全长城之烽火台的建立(5) 构建网络安全长城之烽火台的建立(4) 构建网络安全长城之烽火台的建立(3)
构建网络安全长城之烽火台的建立(2) 构建网络安全长城之烽火台的建立(1) linux ssh 的一些安全小技巧
全面提升linux服务器的安全 linux十大高级安全管理技巧  linux 服务器的安全隐患以及防范对策 
提高linux系统安全性的十招 高级linux安全管理技巧  web服务器配置全攻略(四)
web服务器配置全攻略(三) web服务器配置全攻略(二) web服务器配置全攻略(一)
最新更新 热点排行 推荐新闻
web服务器配置全攻略(四)
web服务器配置全攻略(三)
web服务器配置全攻略(二)
web服务器配置全攻略(一)
影响iis性能的几个因素(1)
linux服务器日志管理详解(3)
linux服务器日志管理详解(2)
linux服务器日志管理详解(1)
在linux下设置www server(4)
在linux下设置www server(3)
在linux下设置www server(2)
在linux下设置www server(1)
设定linux web 服务器(6)
设定linux web 服务器(5)
设定linux web 服务器(4)
web服务器配置全攻略(四)
web服务器配置全攻略(三)
web服务器配置全攻略(二)
web服务器配置全攻略(一)
影响iis性能的几个因素(1)
qq珊瑚虫外挂4.0版本发布!
新开放qq免费挂级网站
免费在qq上看在线电影电视听音乐
免费把qq炫铃设为本机qq的系统提示音
摄影后期系列一:1分钟为数码相片去红眼
流金岁月!cpu历史上最难忘的十个第一
教您显示器亮度对比度的调节
腾讯qq调整升级条件不再诱发网民“通宵
qq挂机的n种快速方法
qq挂机说明
巧用photoshop图案工具
用photoshop制成浪漫的“珍珠项链”
第二十章 开发delphi对象式数据管理功
sql简明教程(1)
vbscript和javascript互相调用 
jsp教程(四)-jsp actions的使用
操作系统被入侵后的修复过程
五一别忘电脑防毒 养成良好上网习惯
google对ie浏览器将捆绑搜索功能表担忧
新版上线,今日正式开通!!!
 友情链接
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接
copyrights © 2004-2006 iyit.net all rights reserved.
网站合作、广告联系qq:147007642、466949678
易特网络技术 点击这里给我发消息