服務(wù)器有哪些漏洞是需要小心防范的?
- 作者:木辰科技
- 發(fā)表時(shí)間:2020-07-23 10:52:17
- 來(lái)源:shmuchen.com
- 瀏覽量:1009
服務(wù)器的安全管理也是讓不少人操過(guò)心,服務(wù)器作為人為設(shè)計(jì)的產(chǎn)品,由于其硬件和軟件的特殊性,肯定是有其漏洞存在的,這是誰(shuí)都否認(rèn)不了的事實(shí)。
能做的就是將一些典型的漏洞進(jìn)行防護(hù),避免黑客借此攻擊服務(wù)器,服務(wù)器有哪些需要我們仔細(xì)防范的漏洞呢?
一、系統(tǒng)漏洞
由于存在漏洞和服務(wù)器問(wèn)題,IIS和Apache網(wǎng)絡(luò)服務(wù)器常常被黑客用來(lái)攻擊。桌面漏洞有很多,比如我們常見(jiàn)的瀏覽器等,特別是用戶不經(jīng)常下載更新補(bǔ)丁的時(shí)候,這些都是黑客經(jīng)常使用的漏洞。
黑客通過(guò)這些應(yīng)用,不需要經(jīng)過(guò)用戶的同意就可疑主動(dòng)下載非法軟件代碼,也稱作隱藏式下載。
二、移動(dòng)代碼漏洞
在瀏覽器中禁用Javascript、Javaapplets。NET運(yùn)用、Flash或ActiveX似乎是個(gè)好主意,由于它們都會(huì)在計(jì)算機(jī)上主動(dòng)運(yùn)行腳本或代碼,可是若是禁用這些功用,許多網(wǎng)站無(wú)法正常讀取。這為編碼的Web運(yùn)用敞開(kāi)了大門,它們接受用戶輸入并運(yùn)用Cookies,就像在跨站點(diǎn)腳本(XSS)中一樣。
在這種情況下,某些需要訪問(wèn)與其他敞開(kāi)頁(yè)面的Cookies,Web運(yùn)用會(huì)呈現(xiàn)紊亂。任何訪問(wèn)用戶輸入的Web應(yīng)用。能夠會(huì)在無(wú)意中接受惡意代碼,而這些惡意代碼可以被返回給其他用戶。
三、郵件嵌入式HTML陷阱
由于SMTP電子郵件網(wǎng)關(guān)會(huì)在必定程度上約束可以郵件的發(fā)送,黑客現(xiàn)已不常常在電子郵件中發(fā)送惡意代碼。
相反,電子郵件中的HTML被用于從Web上獲取惡意軟件代碼,而用戶能夠徹底不知道已經(jīng)向網(wǎng)站發(fā)送了請(qǐng)求。
四、HTTP和HTTPS選擇
訪問(wèn)互聯(lián)網(wǎng)有必要運(yùn)用Web,一切核算機(jī)都可以經(jīng)過(guò)防火墻訪問(wèn)HTTP和HTTPS(TCP端口80和443)??梢约俣ㄒ磺泻怂銠C(jī)都能夠訪問(wèn)外部網(wǎng)絡(luò)。
許多順序都經(jīng)過(guò)HTTP訪問(wèn)互聯(lián)網(wǎng),例如IM和P2P軟件。此外,這些被劫持的軟件打開(kāi)了發(fā)送僵尸網(wǎng)絡(luò)指令的通道。
五、所有主機(jī)可以Telnet到服務(wù)器
進(jìn)行服務(wù)器的日常維護(hù)時(shí),往往為了方便會(huì)使用電腦通過(guò)Telnet到服務(wù)器上,以命令行的方式進(jìn)行維護(hù)。這在很大程度上方便了服務(wù)器的運(yùn)維,但是,也給服務(wù)器帶來(lái)了一些隱患。
當(dāng)非法攻擊者利用某些特定的方法知道Telent的用戶名與密碼之后,就可以在企業(yè)任何一臺(tái)主機(jī)上暢通無(wú)阻的訪問(wèn)服務(wù)器。所以,Telent技術(shù)為我們服務(wù)器管理提供了比較方便的手段,但是,其安全風(fēng)險(xiǎn)也不容忽視。
一般來(lái)說(shuō),對(duì)于Telent技術(shù),我們需要注意以下幾個(gè)方面。
1、Telent用戶名與密碼跟服務(wù)器的管理員登陸用戶名與密碼最好不一樣。
2、最好能夠限制Telent到服務(wù)器的用戶主機(jī)。如我們可以在服務(wù)器上進(jìn)行限制,只允許網(wǎng)絡(luò)管理員的主機(jī)才可以遠(yuǎn)程Telent到服務(wù)器上去。如此的話,就可以最大限度的保障只有合法的人員才可以Telent到服務(wù)器上進(jìn)行日常的維護(hù)工作。
3、若平時(shí)不用Telent到服務(wù)器管理的話,則把這個(gè)Telent服務(wù)關(guān)閉掉。沒(méi)有必要為攻擊者留下一個(gè)后門。
六、沒(méi)有關(guān)閉不必要的服務(wù)
在服務(wù)器操作系統(tǒng)安裝的時(shí)候,會(huì)裝了比較多的服務(wù)。如我們?cè)诎惭b文件服務(wù)器系統(tǒng)的話,默認(rèn)情況下,可能會(huì)開(kāi)啟WWW服務(wù)、Telent服務(wù)、DSN服務(wù)等等。
但是,對(duì)于文件服務(wù)器來(lái)說(shuō),這些服務(wù)往往是沒(méi)有必要的。我們?cè)趹?yīng)用服務(wù)器上開(kāi)啟了這些不必要的服務(wù),不但會(huì)占用可貴的硬件資源,而且,最重要的是,會(huì)降低文件服務(wù)器的安全性。
所以,木辰科技建議各位站長(zhǎng)在服務(wù)器管理的時(shí)候,把一些沒(méi)有必要的服務(wù)關(guān)閉掉。
聲明:本文由 木辰科技 收集整理的《服務(wù)器有哪些漏洞是需要小心防范的?》,如轉(zhuǎn)載請(qǐng)保留鏈接:http://redcrossapp.cn/news_in/304
- 開(kāi)發(fā)App的5個(gè)基本步驟
- 手機(jī)App的發(fā)展前景展望
- 網(wǎng)站制作從原型圖架構(gòu)到設(shè)計(jì)開(kāi)發(fā)的具體步驟
- 站長(zhǎng)必看網(wǎng)站建設(shè)系統(tǒng)選擇知識(shí)
- 高端網(wǎng)站建設(shè)必須要滿足哪些要求--木辰建站
- 企業(yè)用網(wǎng)站進(jìn)行網(wǎng)絡(luò)宣傳的優(yōu)勢(shì)
- 淺析影響網(wǎng)站百度權(quán)重排名的幾大要點(diǎn)
- 個(gè)人網(wǎng)站應(yīng)該選擇哪種虛擬主機(jī)?
- 什么是偽靜態(tài)?偽靜態(tài)有何作用?哪種好?
- 「高端網(wǎng)站定制」企業(yè)網(wǎng)站要如何做好頁(yè)面標(biāo)題設(shè)置?-木辰網(wǎng)站建站