第15章HTTP-.pdfVIP

下载 下载 第15章 HTTP/WWW安全 支持World Wide We b 的H T T P协议没有本质的不安全性，至少相对于 F T P和Te l n e t这些古 老的协议是这样。We b 的普遍流行使它成为系统攻击者喜爱的目标，系统攻击者对突破 We b服 务器的系统安全以及用神秘和幼稚的信息代替 We b主页有极大的兴趣。本章讲述了包括服务 器和客户端在内的一些风险，并建议了一些安全工具（从一个安全服务器开始）和方法。还 描述了T L S / S S L （Transport Layer Security/Secure Sockets Layer ）。 15.1 HTTP基础 超文本传输协议（Hypertext Transfer Protocol, HTTP ）是一个相当简单而又非常重要的协 议，它允许用户（“浏览者”或“冲浪者”）从World Wide We b （W W W ）以及其他分布式信 息系统请求和接受超媒体内容。缺省时， H T T P程序（h t t p d ）运行在T C P之上并监听T C P端口 8 0 。然而它还能使用其他端口甚至其他协议来提供一个可靠的数据流（至少在理论上）。 H T T P是一个请求/ 响应协议。为了获得信息，一个 Netscape Navigator We b浏览客户程序 向一个A p a c h e服务器建立一个T C P连接并请求一个资源（“G E T ”）。服务器检查请求并根据服 务器配置和包含的内容进行响应。一个服务器也许发送一个超文本标记语言（ H T M L ）文件、 文本、图片、声音、影像或一个 Java applet ，它们可以在浏览器显示出来。一个服务器也许运 行一个程序来响应浏览器请求（通过通用网关接口或服务器的应用程序接口）。 H T T P 具有灵活性和普遍性。虽然它最初的功能是从 We b获取信息，但它还能用作连接到 其他I n t e r n e t系统的“转换”协议，包括支持 S M T P 、N N T P 、F T P 、G o p h e r和WA I S协议的系 统。通过使用代理和网关，H T T P允许到各种应用资源的基本超媒体访问。 W W W 的流行以及H T T P协议的普及是 I n t e r n e t 历史上最令人吃惊的发展。尽管一个特定 P C操作系统建立了霸权，但 U N I X和T C P形成了它的基础。W W W 由Tim Berners-Lee在1 9 9 0年 发明，当时他正在粒子物理欧洲实验室（ C E R N ）。当他在一台 N e X T 计算机上写出最初的 W W W 服务器和浏览器软件时，他正作为一个小组的一员想要实现在物理学家之间交换联机 研究文献。当U r b a n a - C h a m p a i g n 的I l l i n o i s大学的一个小组为 M a c i n t o s h和Wi n d o w s操作系统发 行了一个叫作 M o s a i c 的浏览器后， W e b 像野火一样蔓延。 M o s a i c 被后来的 N e t s c a p e C o m m u n i c a t i o n s公司商品化并更名为Netscape Navigator 。 提示 由于We b神话般地发展，H T T P成为I n t e r n e t上主要的协议。读者若想知道关于 H T T P 的每件事，可以在World Wide Web Consortium 的H T T P概述文档上找到，参见 h t t p : / / w w w. w 3 . o rg / P r o t o c o l s / 。H T T P 的最新版本是 1 . 1，在RFC 2068 中声明，参见 /rfcs/rfc2068.html。 测试H T T P连接的一种简易方法—也是一个潜在的 H T T P安全漏洞是t e l n e t 到一个We b服 务器主机的端口 8 0 。可以输入“G E T / ”来浏览站点的基本H T M L文档（如i n d e x . h t m l ），如下 所示（去掉了H T M L 内容）： 第1