在web security的问题日益严重的情况下 - 云科大计算机网路研究室.pptVIP

第三章 安全資訊管理 第三章 安全資訊管理 前言 3.1 Web Security 3.2 VoIP Security 3.3 P2P Security 很多企業會在公司架設屬於自己的伺服器，除了讓外界可以透過website得知企業的相關訊息，也可以提供網路交易的服務等。但在架設web server或是開發web application時，需要防範有心人士利用web server或web application的相關安全漏洞入侵企業網路；此外，企業內部的使用者在瀏覽Internet上的網頁時，也可能帶進木馬、病毒…等惡意程式，對企業網路的安全造成威脅。 當網路的頻寬加大時，人們可以透過VoIP (Voice over IP) 的技術將聲音透過網際網路做傳送；但是企業網路使用VoIP必需要考慮他人竊聽、盜打及雙方身份識別等的安全性問題。 近幾年P2P (peer to peer)網路應用的興起，讓資料傳播更有效率，但是全球多項P2P熱門軟體如：FOXY、eMule、BT、BitComet..等，皆潛藏高資安風險，除了可能發生侵權問題外，隨著檔案的交換也可能帶入病毒、木馬程式，或是讓外界有機會由企業內部取得重要機密文件，因此企業網路對P2P使用的管理不容忽視。 本章將簡述目前網路上Killer applications: Web、VoIP與P2P的安全問題，並說明該如何防範。 3.1 Web security 3.1.1 架設Web server 3.1.2 瀏覽Web site 3.1.3 開發Web Application Web Security可以分成三個部份進行討論： 架設Web server：當我們使用現成的架站軟體進行Web Server架設時，要注意其安全漏洞，本節我們將針對Apache http server與Microsoft的Internet Information Services (IIS)介紹其安全漏洞。 瀏覽Web site：網路的發達帶給人們無限的便利，搜尋網站(yahoo search、google search)的功能也日益強大，人們可利用搜尋網站快速找到其想要的資訊，但在享受便利的同時，也對企業網路的安全性產生危脅，例如：不斷彈出的廣告視窗、誤入釣魚網站、帶有病毒或木馬程式的惡意連結等。 開發Web Application：除了上述二種之外，Web Application所形成的安全漏洞也不容忽視，例如：程式本身的缺陷可能導致非法使用者能夠取得合法使用者之權限或root的管理權限，進而導致機密資料外洩或公司資料被破壞…等。 3.1.1 架設Web server Apache 伺服器源自於美國國家超級計算中心（NCSA）Rob McCool 所開發的 NCSA HTTPd 網頁伺服器，在開放原始碼社群的努力下，於 1995 年釋出 Apache 0.6.2版，之後經過不斷改進，2000年提出2.0版，目前必威体育精装版的版本為2.2.8版。 Apache伺服器能相容於眾多作業系統，如UNIX、LINUX、Windows等等，為一開放原始碼之網頁伺服器軟體；其發展目標是想提供一個安全、效率高且具擴展性的伺服器，使其能提供HTTP服務。 Apache 網頁伺服器的漏洞 雖然 Apache 在 1997 年 1 月之後，較少聽到駭客利用Apache的漏洞進行入侵，但如果您主機上執行的 Apache 並非必威体育精装版版本，還是可能存在漏洞，例如下一頁左圖為Apache官方網站在2002年公告其自行發現的安全漏洞(Chunk Handling Vulnerability)，所以管理者還是需藉由適當修補 Apache 漏洞，以避免惡意入侵 者透過 Apache 程式本身的缺陷，來攻陷網頁伺服器。 3.1.1 架設Web server Apache官方網站公告的安全漏洞-Chunk Handling Vulnerability (如左圖所示): Apache web server 可以支援 RFC2616 所描述的 HTTP 1.1 標準中的 chunk-encoded data；但是在處理某些 chunk-encoded HTTP requests 時會產生安全弱點，例如可允許遠端攻擊者執行任意程式碼等。 另外，Sun Microsystems在2003年公告了一份文件”Security Sun Alert Archive Reference for Year 2002”，文件內容陳述許多Apache的安全漏洞，其中第38點(Security Vulnerability in the Way Apache Web Servers Handle Data Encoded in Chunks