技术改变世界 阅读塑造人生! - shaogx.com

This string was altered by TechBlog\Plugins\Example.; This is an example to show the potential of an offcanvas layout pattern in Bootstrap. Try some responsive-range viewport sizes to see it in action.

Web服务攻击第一部分 简单对象访问协议(SOAP)(1)

【51CTO.com 独家译稿】一般说来,Web服务在人们心目中一直是那种难以精确定义、解释及运用的小众工具。这实际上是种误解,详情点击此处查看。我也很想通过一些技术及代码实例来消除此种误解。在本文当中,我们将专门讨论SOAP。当然类似JSON及REST也都是比较流行的重要标准,但在这里我们姑且将重点集中在SOAP身上。... 全文

Web服务 Web服务攻击 Web安全 网页安全 SOAP 协议

RHEL 5服务篇—使用Apache搭建web服务(三)构建web虚拟主机

       虚拟web主机指的是在同一台服务器中运行多个web站点,其中的每一个站点实际并不独立占用整个服务器,因此被称为“虚拟的web主机”。在搭建虚拟web主机时,可以使用三种方法搭建虚拟web服务,基于IP地址、基于端口号和基于域名的。常用的是基于域名构建虚拟web主机。那么我们就来了解一下怎样搭建这三种不同的虚拟web主机。基于IP地址的虚拟主机:为每个虚拟主机使用不同的域名,不同的IP来实现。基于端口的虚拟主机:这中方式不使用域名、IP地址来区分,而是使用不同的端口号来实现。基于域名的虚拟主机:为每个虚拟主机使用不同的域名,且IP地址和端口号不变。准备工作... 全文

Apache 虚拟主机 web 虚拟web

SOA与Web服务技术安全

一、SOA概述SOA是个很独特的架构,强调协作、复用、本地透明组件和网络之间的链接。它的特点体现在“可重用性”和“互操作性”,使得起能够为企业解决多方面的问题。通过实现SOA可以带来很多好处,主要包括以下几个方面。(一)效率将业务流程从“烟囱”状的、重复的流程向维护成本较低的高度利用、共享服务应用转变。(二)响应迅速适应和传送关键业务服务来满足市场需求,为客户、雇员和合作伙伴更高水准的服务。(三)适应性更高效地转入转出让整个业务变得复杂性和难度更小,达到节约时间和资金的目的。二、SOA与Web服务... 全文

SOA Web安全 Web服务

Sambar Web服务器例子程序拒绝服务攻击漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:拒绝服务攻击漏洞 攻击类型:远程攻击 发布日期:2002-01-16 更新日期:2002-01-22 受影响系统:... 全文

漏洞 服务器 Web Web服务

Sun One/iPlanet Web服务器远程拒绝服务攻击漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:设计错误 攻击类型:拒绝服务攻击 发布日期:2003-08-14 更新日期:2003-08-20 受影响系统:Sun ONE Web Server 6.0 SP5Sun ONE Web Server 6.0 SP4Sun ONE Web Server 6.0 SP3 安全系统:Sun ONE Web Server 6.0 SP6漏洞报告人:无 漏洞描述:测试方法:无 解决方法:... 全文

漏洞 服务器 .net Web Sun Web服务

使用SSL协议保证web服务通信安全(1)

【51CTO.com 独家特稿】Apache服务器与客户端的通信是明文方式,很多通过HTTP协议传送数据的应用将受到黑客的威胁,信息的安全性难以得到保障。因此,本文就将对SSL协议进行深入剖析,并介绍如何使用SSL技术保护Apache服务器通信。1  SSL简介... 全文

SSL协议 web服务 web安全 通信安全 Apache服务器

RHEL 5服务篇—使用Apache搭建web网站(二)客户端访问控制

       为了更好的控制对网站资源的访问,我可以为特定的网站目录添加访问授权。我们可以分别通过限制客户机的地址和用户访问权限两方面控制用户的访问。那么我们就分别讲解一下这两种控制方式,这两种控制方式都应用于httpd.conf配置文件中的目录区域<Directory 目录位置>......</Directory>范围内。客户机地址限制... 全文

apache web http web服务

详解SOAP协议下一系列安全漏洞的测试及利用(1)

第一部分的文章中,我们讨论了如何在一个WSDL文件中以关闭操作列表的方式来生成SOAP请求,以及怎样将这套流程通过Ruby及Burp套件自动加以执行。此外,我们还介绍了WSDL文件内容的解析方式。在本文中,我们将要对SOAP服务中的一系列安全漏洞进行测试及利用。并不是所有的攻击行为都针对SOAP,我们必须对这一情况具备清醒的认识。... 全文

Web服务 Web服务攻击 Web安全 网页安全 SOAP 协议

Mongoose Web Serve 简单的web服务器

简介:Mongoose Web Server是一款易于使用的Web服务器,它可以嵌入到其它应用程序中,为其提供Web接口。官网:http://code.google.com/p/mongoose/下载地址:... 全文

web服务 web windows ssl server

Software602 Web602 Web服务器未授权管理目录访问漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:未授权管理目录访问漏洞 攻击类型:远程攻击 发布日期:2002-10-18 更新日期:2002-10-23 受影响系统:... 全文

漏洞 服务器 Web Web服务

keepalived支持LVS高可用服务以及支持web服务的高可用

keepalived支持LVS高可用服务准备:四台主机,其中两台为高可用节点,IP地址分别外172.16.86.4、172.16.86.5,两台为real server,IP地址分别为172.16.86.7、172.16.86.8一、首先让两台高可用节点时间同步,然后下载安装包并安装。我们这里是老师准备好的,你们可以在网上自行下载。节点1:[root@node1 ~]# service ntpd stop[root@node1 ~]# ntpdate 172.16.0.1[root@node1 ~]# dateThu May 16 11:01:39 CST 2013... 全文

keepalived支持LVS高可用服务以及支持web服务的高可用

打开ASP.NET Web项目时,此项目的默认Web访问模式设置为文件共享, 但是无法从路径“...”打开“...”处的项目文件夹。返回的错误是: 无法打开Web项目“”。返回的错误是: 无法打开Web项目“...”。文件路径“...”怀URL“...”不

当你打开ASP.NET Web项目时,如果出现这样的错误提示:提示窗口标题: Web访问失败提示内容: 此项目的默认Web访问模式设置为文件共享, 但是无法从路径“...”打开“...”处的项目文件夹。返回的错误是: 无法打开Web项目“”。返回的错误是: 无法打开Web项目“...”。文件路径“...”怀URL“...”不符。这两者需要映射到相同的服务器位置。HTTP错误404: Not Found ...... 处理方法: ... 全文

web asp.net url web服务 服务器 server

保障Web服务的安全

从基于传送的安全转移到基于信息的安全当我给出关于Web服务的介绍的时候,不可避免的就会有来自于听众的关于安全的问题。最常见的问题是:“你是如何保障Web服务的安全的”。通常会跟随着怀疑的论断:“Web服务不可能是安全的”。... 全文

Web服务 安全

配置Web服务

实验说明:本实验用于配置web服务教员:龚老师实验名称:配置WEB服务涉及课程章节:《WINDOWS网络服务》第三章实验目的:理解WEB服务的工作原理,熟练掌握安装WEB服务及配置WEB服务实验设备:1)windows server 2003 VM 两台实验描述:实验一:创建WEB服务器和站点实验二:创建不同ip地址的站点实验三:创建不同tcp端口的站点实验四:创建不同主机头的站点实验步骤及截图:实验一:创建WEB服务器和站点... 全文

Web 服务 休闲 职场

保护(IIS)WEB服务器的15个技巧

通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。推荐专题:IIS服务“讲武堂”... 全文

服务器 Web Web服务

Abyss Web服务器远程目录遍历漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:远程目录遍历漏洞 攻击类型:远程攻击 发布日期:2002-08-22 更新日期:2002-08-27 受影响系统:... 全文

漏洞 服务器 Web Web服务

如何用IIS建立高安全性Web服务器

IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安全机制,建立一个高安全性能的Web服务器,已成为IIS设置中不可忽视的重要组成部分。... 全文

服务器 安全 Web Web服务

精心配置IIS打造安全Web服务器

因为IIS(Internet Information Server)的方便性和易用性,所以成为最受欢迎的Web服务器软件之一。但是,IIS从诞生起,其安全性就一直受到人们的置疑,原因在于其经常被发现有新的安全漏洞。虽然IIS的安全性与其他的Web服务软件相比有差距,不过,只要我们精心对IIS进行安全配置,仍然能建立一个安全性的Web服务器的。构造一个安全的Windows 2000 操作系统要创建一个安全可靠的Web服务器,必须要实现Windows 2000操作系统和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全。实际上,Web服务器安全的根本就是保障操作系统的安全。使用NTFS文件系统在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。而在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。关闭默认共享在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。共享权限的修改在系统默认情况下,每建立一个新的共享,Everyone用户就享有“完全控制”的共享权限,因此,在建立新的共享后应该立即修改Everyone的缺省权限,不能让Web服务器访问者得到不必要的权限,给服务器带来被攻击的危险。为系统管理员账号改名对于一般用户,我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,所以我们需要将管理员账号更名。具体设置方法如下:鼠标右击“我的电脑” “管理”,启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(administrator)”,选择“重命名”,将管理员帐号修改为一个很普通的用户名即可。禁用TCP/IP 上的NetBIOSNetBIOS是许多安全缺陷的源泉,所以我们需要禁用它。鼠标右击桌面上“网络邻居” “属性”  “本地连接”  “属性”,打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)” “属性” “高级” “WINS”,选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS,如图1。 TCP/IP上对进站连接进行控制方法一 利用TCP/IP筛选鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)” “属性” “高级” “选项”, 在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮,选择“只允许”,再单击“添加”按钮,如图2,只填入80端口即可。 方法二 利用IP安全策略IPSec Policy Filters(IP安全策略过滤器)弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略,将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输。我们同样可以设置只允许80端口的数据通过,其它端口来的数据一律拦截。防范拒绝服务攻击DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击,但是可以降低其风险。打开注册表:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。这样可以使TCP/IP调整SYN-ACKS的重传,当出现SYN-ATTACK迹象时,使连接对超时的响应更快。保证IIS自身的安全性IIS安全安装在保证系统具有较高安全性的情况下,还要保证IIS的安全性。要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。不要将IIS安装在系统分区上默认情况下,IIS与操作系统安装在同一个分区中,这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制,就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理,入侵者就有可能篡改、删除系统的重要文件,或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区,即使入侵者能绕过IIS的安全机制,也很难访问到系统分区。修改IIS的安装默认路径IIS的默认安装的路径是\inetpub,Web服务的页面路径是\inetpub\wwwroot,这是任何一个熟悉IIS的人都知道的,入侵者也不例外,使用默认的安装路径无疑是告诉了入侵者系统的重要资料,所以需要更改。打上Windows和IIS的补丁只要提高安全意识,经常注意系统和IIS的设置情况,并打上最新的补丁,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。IIS的安全配置删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。● Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。● SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。● 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:● 静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。● ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。● EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。删除不必要的应用程序映射IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图4。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。  保护日志安全日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。方法一: 修改IIS日志的存放路径IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入日志存放路径即可,如图5。方法二: 修改日志访问权限日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中,入侵者使用软件让IIS产生大量的日志,可能会导致日志填满硬盘空间,整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。通过以上的一些安全设置,相信你的WEB服务器会安全许多。不过,需要提醒大家注意的是:不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全。原文:精心配置IIS打造安全Web服务器返回网络安全首页... 全文

服务器 安全 Web 配置 Web服务

如何加固基于Windows 2003平台的WEB服务器

基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后,IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。... 全文

Web 服务器 Windows Web服务

Web服务攻击反侦查痕迹检测

web站点默认80为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部,以下是Zenomorph对一些80端口攻击方式的痕迹的研究,和告诉你怎样从日志记录中发现问题。详细描述下面部分通过一些列子,展示对web服务器和其上的应用程序普遍的攻击,和其留下的痕迹,这些列子仅仅是代表了主要的攻击方式,并没有列出所有的攻击形式,这部分将详细描述每种攻击的作用,和其怎样利用这些漏洞进行攻击。(1)”.” “..” 和 “…” 请求... 全文

Web服务攻击 端口攻击

2 3 4 5 6 7 8 9 10 11