Web服务器安全防范.pdfVIP

Web 服务器安全防范 摘要 在互联网高速发展的今天， Web 服务器已经成为互联网不可或缺的一 部分。随着 Web 应用越来越广泛，攻击者也将攻击目标瞄准了 Web 服务器，所 以其安全性也越来越受到人们的重视。本文不仅简单的介绍了 Web 服务器，还 针对其主要攻击方法做了一定的防范策略， 有效地提高了 Web 服务器的安全性。 关键词 Web 服务；安全防卫 中 图 分 类 号 TP393 文 献 标 识 码 A 文 章 编 号 1673-9671-(2012)071-0144-01 随着网络信息化的发展，基于 Web 服务的应用越来越多，其安全性也越来 越受到人们重视。一旦 Web 服务器遭到攻击，不仅无法提供正常服务，而且内 部信息也会泄露。本来针对 Web 服务器主流的攻击手段做了一些介绍以及防范 方法。 1 Web 服务器简介 Web 服务器也称为 WWW （WORLD WIDE WEB ）服务器， 主要功能是提供 网上信息浏览服务。 WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近 年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了 WWW 工具，才使得近年来 Internet 迅速发展，且用户数量飞速增长。 Web 服务器是驻留于因特网上某种类型计算机的程序。当 Web 浏览器（客 户端）连到服务器上并请求文件时， 服务器将处理该请求并将文件发送到该浏览 器上，附带的信息会告诉浏览器如何查看该文件（即文件类型） 。服务器使用 HTTP （超文本传输协议）进行信息交流，这就是人们常把它们称为 HTTPD 服 务器的原因。 Web 服务器不仅能够存储信息，还能在用户通过 Web 浏览器提供的信息的 基础上运行脚本和程序。 2 Web 服务器面临主要威胁 由于 Web 服务器为各种各样的客户端提供服务，用户也是各种各样的，使 得这些应用系统直接的暴漏在了一个很不安全的环境中， Web 服务器无时无刻不 受到安全威胁，这些威胁主要包括拒绝服务、分布式拒绝服务、 SQL 注入攻击 以及跨站脚本攻 击等。 2.1 拒绝服务攻击 拒绝服务攻击是通过某些方法或者手段使得目标主机或者网络瘫痪， 不能正 常提供服务。其技术原理简单，工具化，往往难以防范。其攻击方式主要分为三 种，消耗有限的物理资源、修改配置信息、物理部件的移除或破坏。 2.2 SQL 注入 SQL 注人往往是利用数据库本身的漏洞或者网页程序源码漏洞进行的，在 此类攻击中，攻击者会把 SQL 命令插入到 Web 表单的输人域或页面请求的查询 字符串，欺骗服务器执行恶意的 SQL 命令。这些命令往往包括忘数据库中添加 恶意信息或者把数据库中原有的信息删除等， 更有甚者有可能从数据库中窃取系 统管理员的账号密码，从而达到完全控制整个网站系统的目的。 2.3 跨站脚本攻击 攻击者向 Web 页面中插入恶意脚本没有被网站过滤， 当用户浏览该页面时， 嵌入其中的恶意脚本就会执行，从而达到攻击者的特殊目的。 这类攻击一般不会对网站主机