計算機類論文容易發(fā)表的核心論文淺析服務(wù)器群組存在的安全隱患
所屬分類:電子論文 閱讀次 時間:2014-11-12 14:51 本文摘要:摘要:主要分析了當(dāng)前服務(wù)器存在的安全隱患�����,針對目前網(wǎng)絡(luò)環(huán)境的復(fù)雜性��,加深了服務(wù)器群組的概念。同時針對目前安全產(chǎn)品在服務(wù)器群組防護方面存在的空白���,提出了服務(wù)器群組防護策略����。服務(wù)器作為網(wǎng)絡(luò)的核心��,其安全性急需受到重視��,而對服務(wù)器群組實行全面立
摘要:主要分析了當(dāng)前服務(wù)器存在的安全隱患�����,針對目前網(wǎng)絡(luò)環(huán)境的復(fù)雜性�,加深了服務(wù)器群組的概念。同時針對目前安全產(chǎn)品在服務(wù)器群組防護方面存在的空白��,提出了服務(wù)器群組防護策略。服務(wù)器作為網(wǎng)絡(luò)的核心���,其安全性急需受到重視��,而對服務(wù)器群組實行全面立體地防護也是大勢所趨����,這樣可以對企業(yè)核心資產(chǎn)得到最直接有效的保護�。
關(guān)鍵詞:服務(wù)器群組;服務(wù)器漏洞;Web服務(wù)器;郵件服務(wù)器;B/S;C/S,電子核心期刊
1 引言
服務(wù)器常被稱為網(wǎng)絡(luò)的靈魂����,它作為網(wǎng)絡(luò)的節(jié)點,存儲��、處理網(wǎng)絡(luò)上80%的數(shù)據(jù)����、信息。企業(yè)的核心資產(chǎn)�,如客戶信息,財務(wù)信息��,企業(yè)內(nèi)部信息等重要數(shù)據(jù)��,也都保存在不同的服務(wù)器上,服務(wù)器的開放性和操作系統(tǒng)自身的安全隱患��,使得服務(wù)器很容易受到各種網(wǎng)絡(luò)攻擊和入侵的威脅�����。輕則造成服務(wù)器資源耗盡�,正常訪問無法進行,重則導(dǎo)致系統(tǒng)崩潰�����,機密信息泄露或信息篡改���,不但損害了企業(yè)利益,同時也影響了企業(yè)形象��。因此服務(wù)器承擔(dān)著一個企業(yè)的榮辱興衰���。
而隨著信息技術(shù)的不斷發(fā)展���,網(wǎng)絡(luò)環(huán)境越來越復(fù)雜,企業(yè)所使用的服務(wù)器資源也比以前多樣化��,因此為了確保企業(yè)核心信息資產(chǎn)的安全當(dāng)務(wù)之急就是對服務(wù)器及服務(wù)器群組加以全面立體的防護。
本文針對目前安全產(chǎn)品在服務(wù)器群組防護方面存在的空白��,提出了服務(wù)器群組防護策略。
2 服務(wù)器分類
服務(wù)器發(fā)展到今天��,適應(yīng)各種不同功能��、不同環(huán)境的服務(wù)器不斷地出現(xiàn)����,分類標(biāo)準(zhǔn)也多種多樣��。
按應(yīng)用層次不同����,可以把服務(wù)器劃分為入門級服務(wù)器、工作組級服務(wù)器�����、部門級服務(wù)器和企業(yè)級服務(wù)器�����。
按CPU所采用的指令系統(tǒng)不同,可以把服務(wù)器劃分為CISC架構(gòu)服務(wù)器�、RISC架構(gòu)服務(wù)器和VLIW架構(gòu)服務(wù)器。
按功能用途不同�,可以把服務(wù)器劃分為通用型服務(wù)器和專用型服務(wù)器。
按機箱結(jié)構(gòu)不同��,可以把服務(wù)器劃分為臺式服務(wù)器�、機架式服務(wù)器、機柜式服務(wù)器和刀片式服務(wù)器����。
按網(wǎng)絡(luò)技術(shù)架構(gòu)不同,可以把服務(wù)器劃分為B/S服務(wù)器和C/S服務(wù)器����。
這里著重從軟件開發(fā)模式�,技術(shù)架構(gòu)上,也就是從B/S服務(wù)器,C/S服務(wù)器角度來描述服務(wù)器存在的安全隱患和漏洞��。
首先必須搞清楚三個問題:
(1)何謂C/S�。C/S (Client/Server)就是大家熟悉的客戶端和服務(wù)器端結(jié)構(gòu)。在這種結(jié)構(gòu)中����,服務(wù)器端是網(wǎng)絡(luò)的核心����,而客戶端是網(wǎng)絡(luò)的基礎(chǔ)����,客戶端依靠服務(wù)器端獲得所需要的網(wǎng)絡(luò)資源,而服務(wù)器端為客戶端提供網(wǎng)絡(luò)必須的資源���。
(2)何謂B/S��。B/S(Browser/Server) 即瀏覽器和服務(wù)器端結(jié)構(gòu)����。它是隨著Internet技術(shù)的興起����,對C/S結(jié)構(gòu)的一種更新或改進結(jié)構(gòu)。在這種結(jié)構(gòu)下�����,軟件應(yīng)用的業(yè)務(wù)邏輯完全在服務(wù)器端實現(xiàn),用戶表現(xiàn)完全在服務(wù)器端實現(xiàn)��,客戶端只需要瀏覽器即可進行業(yè)務(wù)處理。B/S是一種全新的軟件系統(tǒng)構(gòu)造技術(shù),也是當(dāng)今應(yīng)用軟件的首選體系結(jié)構(gòu)�����,更是今后應(yīng)用軟件發(fā)展的必然架構(gòu)。
(3)“C/S服務(wù)器”和“B/S服務(wù)器”的典型代表有哪些���。C/S服務(wù)器常見的有郵件服務(wù)器、文件服務(wù)器��、流媒體服務(wù)器��、數(shù)據(jù)庫服務(wù)器等���。B/S服務(wù)器最常見的就是Web服務(wù)器����。
3 服務(wù)器群組
服務(wù)器群組顧名思義就是由一群服務(wù)器組成的����,這里提到的服務(wù)器群組主要是由兩大類服務(wù)器組成�����,當(dāng)然每一類服務(wù)器又可以是由多種不同功能的服務(wù)器構(gòu)成的���,這兩大類服務(wù)器就是我們上面提到的基于B/S架構(gòu)的應(yīng)用服務(wù)器和基于C/S架構(gòu)的應(yīng)用服務(wù)器�。
隨著企業(yè)的發(fā)展和信息技術(shù)的普及,企業(yè)內(nèi)部的服務(wù)器資源日益增多���,已經(jīng)不單單局限于一種架構(gòu)的服務(wù)器了�,單純只對某種架構(gòu)的服務(wù)器進行安全保護已經(jīng)不能適應(yīng)現(xiàn)在網(wǎng)絡(luò)信息安全的需求了����,因此對服務(wù)器群組的防護事在必行�,刻不容緩。
4 服務(wù)器漏洞
下面主要從Web服務(wù)器和郵件服務(wù)器角度來分別介紹B/S服務(wù)器和C/S服務(wù)器目前存在的安全隱患和漏洞����。
4.1 Web服務(wù)器漏洞
Web服務(wù)器是駐留在服務(wù)器上的一個程序���,通過Web瀏覽器與用戶交互操作����,主要是通過響應(yīng)HTML頁面來處理HTTP請求,提供網(wǎng)上信息瀏覽服務(wù)����。
目前Web服務(wù)器存在的主要漏洞可歸納為以下幾點。
4.1.1 路徑泄露漏洞
路徑泄露屬于低風(fēng)險等級缺陷����,它的危害一般被描述為“攻擊者可以利用此漏洞得到信息,來對系統(tǒng)進一步地攻擊”�����。提供Web�����、FTP���、SMTP等公共服務(wù)的服務(wù)器都有可能出現(xiàn)路徑泄露的問題��。
比較常見的是Web服務(wù)器的路徑泄露���。導(dǎo)致Web服務(wù)器路徑泄露的原因很多,可能是Web平臺本身���、腳本語言解釋器�����、引擎插件、組件�����、輔助程序等一系列原因造成的,也有可能是腳本編寫錯誤所導(dǎo)致的。某些攻擊者會精心構(gòu)造一個畸形��、超長或不存在的文件請求��,而這個請求是Web服務(wù)器沒有預(yù)料且不能正確處理的�,這時往往會返回出錯信息,最直觀的就是暴露物理路徑。得到物理路徑就可以了解系統(tǒng)的文件目錄結(jié)構(gòu)��,看出系統(tǒng)所使用的第三方軟件�����,得到一個合法的用戶名��。
4.1.2 CGI程序漏洞
CGI指的是公共網(wǎng)關(guān)接口(Common Gateway Interface)��,它是Web信息服務(wù)器與外部應(yīng)用程序之間交換數(shù)據(jù)的標(biāo)準(zhǔn)接口,簡單地說��,就是一般超文本與服務(wù)器主機上的應(yīng)用程序之間的接口�����。通過CGI程序,Web服務(wù)器真正實現(xiàn)了與Web瀏覽器用戶之間的交互�����。CGI程序漏洞主要就是CGI源代碼泄露,引起源代碼泄漏的原因較多��,例如大小寫�����,編碼解碼����,附加特殊字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致CGI源代碼泄露�。
攻擊者可以通過在提交的文件請求的文件名后添加某些字符,導(dǎo)致服務(wù)程序由于無法正確地處理這一特殊文件名��,而錯誤地返回攻擊者企圖獲得的CGI腳本源代碼。造成敏感信息泄露��,為攻擊者進一步的惡意攻擊提供幫助。
4.1.3 目錄遍歷漏洞
目錄遍歷是Http所存在的一個安全漏洞�����,它使得攻擊者能夠訪問受限制的目錄����,并在Web服務(wù)器的根目錄以外執(zhí)行命令�。對于Web服務(wù)器來說目錄遍歷并不多見,通過對任意目錄附加“../”�,或者是在有特殊意義的目錄附加“../”�,或者是附加“../”的一些變形,如“..\”或“..//”甚至其編碼����,都可能導(dǎo)致目錄遍歷��。前一種情況并不多見�,但是后面的幾種情況就常見得多,去年非常流行的IIS二次解碼漏洞和UNICODE解碼漏洞都可以看作是變形后的編碼�。
利用這個漏洞��,攻擊者能夠走出服務(wù)器的根目錄���,從而訪問到文件系統(tǒng)的其他部分���,譬如攻擊者就能夠看到一些受限制的文件���,或者更危險的���,攻擊者能夠執(zhí)行一些造成整個系統(tǒng)崩潰的指令。
4.1.4 緩沖區(qū)溢出漏洞
緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方�。在程序試圖將數(shù)據(jù)放到機器內(nèi)存中的某一個位置的時候,因為沒有足夠的空間就會發(fā)生緩沖區(qū)溢出�����。而人為的溢出則是有一定企圖的�,攻擊者寫一個超過緩沖區(qū)長度的字符串,然后植入到緩沖區(qū)��,而再向一個有限空間的緩沖區(qū)中植入超長的字符串可能會出現(xiàn)兩個結(jié)果,一是過長的字符串覆蓋了相鄰的存儲單元��,引起程序運行失敗�����,嚴重的可導(dǎo)致系統(tǒng)崩潰;另有一個結(jié)果就是利用這種漏洞可以執(zhí)行任意指令�����,甚至可以取得系統(tǒng)root特級權(quán)限�。大多造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入?yún)?shù)而造成的。
緩沖區(qū)溢出漏洞是WEB服務(wù)器沒有對用戶提交的超長請求進行合適的處理��,這種請求可能包括超長URL�����,超長HTTP Header域���,或者是其它超長的數(shù)據(jù)���。
這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù),這一般取決于構(gòu)造的數(shù)據(jù)�。任何一個有黑客技術(shù)的人都可以利用此漏洞取得機器的控制權(quán)甚至是最高權(quán)限���。
4.1.5 拒絕服務(wù)漏洞
拒絕服務(wù)(Denial of Service)就是利用合理的服務(wù)請求來占用過多的服務(wù)資源�,從而使合法用戶無法得到服務(wù)的響應(yīng)��。分布式拒絕服務(wù)(Distributed Denial of Service)是指將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DoS攻擊����,從而成倍地提高拒絕服務(wù)攻擊的威力����。
其產(chǎn)生的原因多種多樣,主要包括超長URL�,特殊目錄,超長HTTP Header域,畸形HTTP Header域或者是DOS設(shè)備文件等���。由于Web服務(wù)器在處理這些特殊請求時不知所措或者是處理方式不當(dāng)��,因此會導(dǎo)致Web服務(wù)器出錯終止或掛起����。
小編推薦計算機類論文容易發(fā)表的核心期刊 《電子與電腦》
《電子與電腦》(月刊)創(chuàng)刊于1984年,由電子工業(yè)出版社主辦。是一份反映中國大陸和臺灣地區(qū)半導(dǎo)體��、電子產(chǎn)業(yè)的最新技術(shù)���、最新策略動向和市場趨勢的專業(yè)技術(shù)刊物�����,致力于平面媒體與電子媒體創(chuàng)作��,幫助國內(nèi)信息廠商開拓海外市場���、引進國外信息,為提高我國信息產(chǎn)業(yè)的國際競爭能力提供幫助��。本刊除了對廠商解決方案和戰(zhàn)略動態(tài)進行基本介紹外,更能用心規(guī)劃�����、采寫實用性的常設(shè)欄目�,以及特定的專題報道——“每月特輯”頭版熱點欄目。
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/1939.html
