今天我们讲一下应用服务的安全性。
应用服务安全,顾名思义,就是指应用服务也就是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。它是网络安全的重要组成部分。(网络安全包括操作系统安全、应用服务安全、网络设备安全、网络传输安全等)网络应用服务包括Web服务、FTP服务、DNS服务、Mail服务、Data服务、远程登录服务及其他服务。这个篇幅比较大,所以我们不能像“网络侦察技术分析”(http://bbs.cnfan.net/thread-11095-1-1.html)那样大篇幅的运用图片了,大家跟我一起回到文字时代吧。在这里,我们也是大概的做个介绍,具体的安全操作大家查阅更为详细的安全操作指南。
NO.1 Web服务安全。
Web服务包括三点:
1、静态脚本服务
2、动态脚本服务(脚本很可能就成为获得信息的非正当的服务脚本,80%以上的网站入侵事件都是由脚本安全造成的)
3、Web Service(微软提出三层应用的关键技术,是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件(中间件))
Web服务分为C/S和B/S两类:client/server结构(属于瘦客户类型)、Browser/Server(客户为浏览器,服务器为Web Server),通常是多层(或三层)结构中的第一层。在Web应用中,Web Server后面常常与数据库打交道。大家平时所遇到的基本都是B/S结构,B/S之间的通讯协议是HTTP协议(位于TCP之上),默认的端口为80。主要功能就是客户发出对页面的请求,服务器送回这些页面,这极大的需要Web页面的表述和交互能力包括:各种标记、超链接、交互功能(表单、脚本)、交互能力的扩展(Java Applet, ActiveX等)。
Web服务的安全性分两点:
1、服务器端安全性:Web pages的访问控制机制、可用性(防止拒绝服务、抵御各种网络攻击)
2、客户端安全性:个人信息的保护、防止执行恶意代码
服务端安全:
服务端主要漏洞关系如图:
