17.1.7 保障Web服务器配置的安全

17.1.7　保障Web服务器配置的安全

http://book.51cto.com  2009-07-24 12:40  石华耀译  人民邮电出版社   我要评论( 0)

• 摘要：《黑客攻防技术宝典――web实战篇》第17章攻击Web服务器，本章主要讨论如何利用Web服务器中存在的漏洞攻击其上运行的Web应用程序。当攻击Web服务器时，渗透测试员可以利用的漏洞分为两大类：服务器配置缺陷和Web服务器软件漏洞。 本节为大家介绍保障Web服务器配置的安全。
• 标签：Web服务器  黑客攻防  web  黑客攻防技术宝典――web实战篇
• 限时报名参加“甲骨文全球大会・2010・北京”及“JavaOne和甲骨文开发者大会2010”

17.1.7　保障Web服务器配置的安全

从本质上讲，保障Web服务器配置的安全并不困难；通常，疏忽大意与缺乏安全意识是造成问题的主要原因。最重要的是必须充分了解所使用的软件的文档资料及有关强化指南。

就需要解决的常见配置问题而言，确保包括以下所有领域。

如有可能，修改所有默认证书，包括用户名和密码。删除任何不必要的账户。

在Web根目录的相关路径上应用访问控制列表（Access Control List，ACL），或者对非标准端口设置防火墙，阻止公众访问管理接口。

删除所有实现商业目的并不完全需要的默认内容与功能。浏览Web目录中的内容，确定任何遗留的项目，使用Nikto工具进行重复检查。

如果需要保留任何默认功能，尽量对其进行强化，禁用不必要的选项与行为。

在所有Web目录中查找目录列表。如有可能，在一个控制整个服务器的配置中禁用目录列表。还可以确保每个目录包含服务器默认提供的index.html文件。

除应用程序常用的方法外（通常为GET与POST方法），禁用其他所有方法。

确保没有将Web服务器配置为代理服务器。如果确实需要这项功能，应尽量强化其配置，只允许它连接可合法访问的特定主机与端口。还可以执行网络层过滤，以此作为另一层防御，控制Web服务器向外发出的请求。

如果Web服务器支持虚拟主机，确保在默认主机上实施服务器采用的所有安全强化措施。执行前面描述的测试，证明确实实施了安全强化。

【责任编辑： 云霞 TEL：（010）68476606】

0人

了这篇文章

类别：未分类┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 逛世博痛并快乐着 下一篇 保护企业FTP安全最佳实践方案的描述