应用服务的安全.ppt

ApacheApache服务器它是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的Web服务器项目中。目前已在互联网中占据了领导地位01020304使用HTTP协议进行的拒绝服务攻击(denialofservice)缓冲区溢出攻击被攻击者获得root权限的安全缺陷恶意的攻击者进行“拒绝服务”(DoS)攻击Apache服务器的主要安全缺陷正确维护和配置Apache服务器ApacheWeb服务器主要有三个配置文件，位于/usr/local/apache/conf目录httpd.conf主配置文件srm.conf填加资源文件access.conf设置文件的访问权限Apache服务器的日志文件使用日志格式指令来控制日志文件的信息。使用LogFormat“%a%l”指令，可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件出于安全的考虑，在日志中至少应该知道那些验证失败的WEB用户在http.conf文件中加入LogFormat%401u指令可以实现这个目的Apache服务器的目录安全认证在ApacheServer中是允许使用.htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等？？？Apache服务器访问控制access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把denyfromall设为初始化指令，再使用allowfrom指令打开访问权限Web服务器支持的验证方式01基本验证的具体实现方法02在Linux下用SSL构建一个安全的Web03用IIS建立高安全性Web服务器04WEB安全性的综合策略05Web服务的用户身份认证BasicAuthenticationDigestAccessAuthenticationTLS(TransportLayerSecurity)身份认证保密性协议本身的安全性支持Web认证BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的认证一种双向认证模式：单向TLS认证+客户提供名字/口令MicrosoftpassportOracle的数据安全Oracle数据库安全策略续（1）逻辑备份数据库的逻辑备份包含读一个数据库记录集和将记录集写入文件物理备份物理备份包含拷贝构成数据库的文件而不管其逻辑内容.它分为脱机备份（offlinebackup）和联机备份（onlinebackup）01通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作02授予用户一定的权限，限制用户操纵数据库的权力03授予用户对数据库实体的存取执行权限，阻止用户访问非授权数据04提供数据库实体存取审计机制，使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况05采用视图机制，限制存取基表的行和列集合Oracle数据库的角色管理Oracle数据库安全策略续（2）用户角色管理对不同的用户角色，根据其使用的数据源，分别授予不同的数据库对象存取权限对所有客户端按工作性质分类，分别授予不同的用户角色Oracle数据库安全策略续（3）远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务常见的远程登陆服务包括Telnet终端服务PcAnywhererloginSSH协议漏洞、服务程序漏洞等问题远程登录服务Windows2000终端服务TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默认)终端服务安全输入法漏洞造成的威胁netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplayLastUserName1针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin