解析Web应用服务弱点 上篇

安全 应用安全
知己知彼,方能百战百胜。在提升Web服务安全性的同时,需要先了解Web服务自身的弱点。然后再根据弱点来采取对应的措施。本文主要分析了一下Web服务的弱点,并且这些弱点是容易被人用来进行攻击的。相信这些内容对于大家提高Web的安全性会有很大的帮助。

Web应用服务弱点:不可靠的默认值

在Web应用程序设计时,为了提高用户的输入效率,会设置比较多的默认值。但是这些默认值是把双刃剑。即可以提高用户输入的速度,但是也会影响Web应用程序的安全性。举一个简单的例子。Web服务器的默认端口是什么?80。正确。这个信息只要稍微有点Web 知识的人都知道。

现在的问题是,大家都知道这个信息,那么攻击者就可以轻而易举的通过这个端口来进行攻击。如可以利用工具扫描80端口是否开启来判断服务器是否启用了Web服务。为此如果Web服务没有改变这个默认的端口值,那么就将导致很多安全问题。

再如,有些管理员在设置用户名与密码的时候,可能给用户的默认用户名为空或者跟管理员帐户相同的名字。虽然他们可能提醒用户需要尽快的去更改密码。但是根据笔者的经验,不少用户都没有这个安全意识。

可见,为Web应用程序设置默认值时,并不怎么可靠。为此笔者建议,对于一些关键的应用,如端口、管理员帐户名、密码等信息最好不要采用默认值。这会降低Web应用程序的安全性能。

Web应用服务弱点:关键信息没有采取加密处理

笔者以前研究过一款Compiere的ERP系统,其有B/S与C/S两种架构。在登陆的时候,需要用户输入用户名与密码。在输入这个信息的时候,密码采用了掩码的形式,这确实可以起到一定的保护效果。但是用户名在后台数据库中存储的,以及从网页客户端传输到应用服务器、数据库服务器的过程中,采用的都是明码的形式。

这也就是说,只要攻击者采用一些嗅探工具、或者攻破了数据库,那么对于这个应用来说,攻击者就可以畅通无阻的进行一些破坏行为。相反,如果我们对于这些关键信息都采取了加密处理。那么即使攻击者有了这些数据,对于他们来说,也是没用任何用处。

无论是在数据库服务器,还是在客户端的Cookies中,不直接存储没有加密的挂念信息(如密码或者其他私有数据),这是提高数据安全性的一个首要的原则。如果这些数据暴露了,但是所采用的加密方案将防止暴露用户的密码。

了解这个基本的原则之后,那么管理人员就需要关注,该选择使用哪种加密技术。选择的加密技术的不同,直接影响到Web服务的安全性。但是需要注意的是,加密技术也是一把双刃剑。一般来说,在同等条件下,加密级别越高,其需要的资源开销也就越大。简单的说,加密的级别与系统的性能是成反向变动的。

Web应用服务的弱点本文就为大家先介绍两个,更多的内容我们还会继续总结,与大家分享。欢迎大家阅读:解析Web应用服务弱点 下篇

【编辑推荐】

  1. WAF采购要点大揭密
  2. 如何确保 Web应用安全
  3. Web应用与Web应用防火墙之Web应用
  4. Web应用安全日趋严重我们该拿什么拯救
  5. Web应用与Web应用防火墙之网络安全产品追述
责任编辑:佚名 来源: 网络转载
相关推荐

2010-08-03 21:59:56

2012-02-23 10:02:08

Web服务器应用服务器

2009-01-10 19:32:36

2011-02-17 18:51:10

2011-07-19 09:46:38

2023-08-21 15:18:29

开发Node.js后端

2009-01-16 14:37:57

TomcatWeb服务器应用服务器

2010-07-28 19:24:10

2018-03-20 14:24:10

Web服务器HTTP

2017-10-17 09:15:06

Web服务器区别

2011-11-18 13:14:37

JavaWebWebServices

2010-11-28 15:40:37

2019-04-24 15:13:16

Web服务器应用服务器Web容器

2010-08-02 09:00:00

2012-03-29 10:45:40

惠普应用服务移动应用

2013-06-06 13:40:16

惠普

2019-07-17 15:05:35

应用服务器Tomcat监控

2018-12-12 08:40:11

服务器TomcatJava

2011-06-20 12:23:40

2011-07-26 13:52:11

点赞
收藏

51CTO技术栈公众号