資訊動(dòng)態(tài)
商務(wù)網(wǎng)站安全與控制
發(fā)布:2018-09-19 17:53:52 瀏覽:4847
132.商務(wù)網(wǎng)站安全與控制
5.2.4網(wǎng)絡(luò)軟件和網(wǎng)絡(luò)服務(wù)的漏洞便可以提供許多關(guān)于
1.Finger的漏洞。在TCP/P協(xié)議中,F(xiàn)inger程序只需一用文此信息進(jìn)行字典攻擊。主機(jī)的信息,比如誰正在登錄、登錄時(shí)間和登錄地點(diǎn)等。“黑客同以上的軟軟件,而不正確的配置
2.匿名FTP。匿名FTP允許任何網(wǎng)絡(luò)用戶通過FTP訪問系統(tǒng)亥具有可工作的1Shell所以它將嚴(yán)重威脅系統(tǒng)的安全FTP雖然是一個(gè)合法的賬戶,但它不應(yīng)Ftp:/home/ftp/bin/在主機(jī)的Passwd文件中的賬戶信息應(yīng)是:ftp:*:400:400:Anonymous的權(quán)限是11;~ftp/etc/的false,還應(yīng)該保證Ftp的主目錄權(quán)限為0555;~ftp/bin、~ftp/etc|系統(tǒng)的用戶都不應(yīng)該具有權(quán)限是444;/s/spool/mail/ftp的權(quán)限是0400。任何以Ftp登錄到錄內(nèi)設(shè)置“特洛依術(shù)馬”來創(chuàng)建文件和目錄的權(quán)限,因?yàn)楹诳屯耆梢栽谝粋€(gè)具有寫權(quán)限的文樣存在讓用戶破壞系統(tǒng)進(jìn)行攻擊。首先,多數(shù)FTP服務(wù)器可以用Anonymous用戶名登錄,+及磁盤空間。和文件的可能:其次,上載的軟件可能有破壞性,大量上載的文件會(huì)耗費(fèi)機(jī)時(shí)信息的.建立匿名服務(wù)器時(shí),應(yīng)當(dāng)確保用戶不能訪問系統(tǒng)的重要部分.尤其是包含系統(tǒng)配置文件目錄。注意不要上用戶獲得SHELL級(jí)的用戶訪問權(quán)限,因?yàn)槠胀ㄎ募鬏攨f(xié)議(TFTP支持無認(rèn)證操作,應(yīng)屏蔽掉。FTp服務(wù)允許客戶將文件從一個(gè)機(jī)器復(fù)制到另一個(gè)機(jī)器,客戶端一般需要驗(yàn)證。FTP有
安全漏洞是人所共知的,而且現(xiàn)在的FTP正變得非常復(fù)雜和難于理解,功能也不斷增強(qiáng)。比如,F(xiàn)TP系統(tǒng)的一個(gè)主要安全漏洞是它可以被黑客騙取某個(gè)用戶的的權(quán)限,而黑客實(shí)際上是以公共賬戶方式登錄的。
FTP服務(wù)器的目錄權(quán)限是很重要的,一旦侵人,第一件事就是看是否是可寫目錄。如果可以,他便會(huì)把包含其名字和當(dāng)前機(jī)器的.rhosts文件放到該目錄下。由于該目錄通常是ftp用戶(ftpd)的主目錄,于是一個(gè)可以進(jìn)人系統(tǒng)的遠(yuǎn)程登錄就大功告成了。
TFTP是一個(gè)相當(dāng)危險(xiǎn)的文件傳輸服務(wù),由于它根本不作登錄與控制審查,任何人可以通過該命令取走服務(wù)器上的具有讀權(quán)限的文件。
3.遠(yuǎn)程登錄。在網(wǎng)絡(luò)上運(yùn)行諸如rlogin、rcprexec等遠(yuǎn)程命令時(shí),由于要跨越一些網(wǎng)絡(luò)的傳輸口令,而TCP/IP對(duì)所傳輸?shù)男畔⒂植贿M(jìn)行加密,所以,網(wǎng)絡(luò)黑客只要在所攻擊的目標(biāo)主機(jī)的IP包所經(jīng)過的一條路由上運(yùn)行“嗅探器”的程序,就可以截取目標(biāo)口令。小面:
TELNET的最大安全問題是客戶登錄到服務(wù)器的時(shí)候用的明文傳輸,那么登錄的用戶名和口令易被監(jiān)聽到。
4.不安全的網(wǎng)絡(luò)服務(wù)。在TCP/IP網(wǎng)絡(luò)中,echo、systat、netstat、bootp、udp、tftp、link、supdup.sunprc、news.sump、xdmcpexeclogin.shell、printerbiffwho.syslog、uucp.route、open-
win.NFS.XII等服務(wù)被認(rèn)為是不安全的,尤其是那些依賴于人工呼叫包的UDP的服務(wù)???.電子郵件。電子郵件E-mail是當(dāng)今網(wǎng)絡(luò)上使用最多的一項(xiàng)服務(wù),對(duì)于網(wǎng)絡(luò)用戶,最擔(dān)心的莫過于電子郵件的安全和保密。
在計(jì)算機(jī)網(wǎng)絡(luò)中最容易被竊的就是電子郵件的信息。電子郵件所經(jīng)過的傳輸過程是這樣為:首先在電子郵件SMTP服務(wù)器上,將使用者的電子郵件“打包”,然后轉(zhuǎn)化成一組組的二進(jìn)時(shí)代碼,以便于網(wǎng)絡(luò)傳輸;由于電子郵件服務(wù)器主機(jī)與收信人的電子郵件服務(wù)器主機(jī)并不一定
第5章電子商務(wù)基礎(chǔ)133是直接連接在一起的,其中必然要經(jīng)過許名到線路暢通,才會(huì)沿最佳路徑向會(huì)心許多網(wǎng)絡(luò)主機(jī)轉(zhuǎn)發(fā),在每個(gè)節(jié)點(diǎn)郵件將被臨時(shí)存貯,直
個(gè)主機(jī)節(jié)i點(diǎn)傳送,而每經(jīng)過一個(gè)節(jié)點(diǎn)就多了一次被截取的另外,最簡(jiǎn)單的偷竊電子郵件的手
電子郵件給網(wǎng)絡(luò)所帶來的另段就是偷取網(wǎng)絡(luò)用戶的用戶密碼。
之外,電子郵件所附帶的文檔如個(gè)安全問題是E-mail計(jì)算機(jī)病毒。目前,除“蠕蟲”病毒件,就極可能帶有病毒。Lotus、Excel電子數(shù)據(jù)表文件,特別是Miroot的Word文(1)在UNIX平臺(tái)上常用的郵件
別名和郵件列表的功能。這個(gè)程序通常以Roo賬號(hào)來運(yùn)行,這也就存在著潛在的危險(xiǎn)。這個(gè)牛服務(wù)器是sendmailosendmail支持郵件隊(duì)列、重寫信頭、
特點(diǎn)如果被攻擊者利用,他就可以進(jìn)行更多的破壞活動(dòng),不僅僅只是刪除用戶的郵件。年啊(2)電子郵件的最普遍的問題是角色欺騙。不能相信電子郵件上的地址,因?yàn)榘l(fā)送者可以偽造一個(gè)假的地址,或在傳送過程中修改題頭,或發(fā)送者直接連接到目標(biāo)主機(jī)的SMTP端口,自己,發(fā)送郵件。
看或修改。題頭可以被竄改,用來隱藏真(3)分外,電子郵件的題頭和內(nèi)容是用明文傳送的所以內(nèi)容在傳選過程中可能被他人偷真實(shí)的發(fā)送者,或把信息轉(zhuǎn)發(fā)到別處。電子郵件炸彈是一種基于電子郵件的攻擊形式,被攻攻擊主機(jī)被電子郵件所淹沒直到系統(tǒng)崩潰。電子郵件炸彈可以造成服務(wù)器拒絕服務(wù)或整個(gè)系統(tǒng)崩潰。
換代,其功能和安全性日趨完善。但是UNIX系統(tǒng)還存在許多漏洞。6.操作系統(tǒng)的安全漏洞。國(guó)內(nèi)網(wǎng)絡(luò)主機(jī)一般以UNIX為操作系系統(tǒng)。UNIX歷經(jīng)幾次更新
安全保護(hù)帶來了很大的隱患。曾有人在Itemet上選擇了幾個(gè)網(wǎng)點(diǎn),用字典攻擊法在給出用7.日令設(shè)置的隱患。當(dāng)前,網(wǎng)絡(luò)用戶中謹(jǐn)慎設(shè)置口令的用戶很少。這對(duì)計(jì)算機(jī)內(nèi)信息的戶名的條件下,測(cè)出70%的用戶口令只用了30多分鐘,80%用了兩小時(shí),83%用了48小時(shí)。目前常見的不安全口令包括以下幾種:
(1)用“姓名+數(shù)字”作口令,許多用戶用自已或與自己有關(guān)的人的姓名再加上其中某人的生日等作口令;
身(2)用單個(gè)常用的單詞或操作系統(tǒng)(如DOS等)的命令作口令;則都承臨微源制合t(3)多個(gè)主機(jī)用同一個(gè)口令,將導(dǎo)致一個(gè)主機(jī)口令被竊會(huì)影響多臺(tái)主機(jī)的安全;蛋(4)只使用一些小寫字母作為口令,這樣使字典攻擊法攻破的概率大增。
8.Www服務(wù)的安全問題。Web瀏覽器和服務(wù)器都難以保證安全。因?yàn)閃eb瀏覽器比FTP更易于傳送和執(zhí)行正常的程序,所以它也更易于傳送和執(zhí)行病毒程序。我們見到的一個(gè)公開報(bào)道的Web服務(wù)的一個(gè)安全漏洞是:表單(FORM)總的隱藏字段(HIDDEN)是用于向CGI程序傳送測(cè)覽器不可見的信息的,程序員往往通過它來傳遞一-些秘密的信息,但是事實(shí)上它并不是真正隱藏的。因?yàn)樗潜韱蔚穆窂皆试S的特性,所以不受防火墻的保護(hù)。時(shí)與的事另一個(gè)漏洞是,瀏覽器IE與Navigator在處理從用戶到節(jié)點(diǎn)信息的方式上,在通過Web進(jìn)行電子交易時(shí),許多節(jié)點(diǎn)都要求用戶填人自己的信用卡號(hào),并采用GET協(xié)議以加密形式傳送到節(jié)點(diǎn)。但如果用戶在填寫完表格后尚未提交又連接到另一個(gè)節(jié)點(diǎn)時(shí)如沒有清除信息,所有信息(包括信用卡號(hào))都被傳送到下一臺(tái)機(jī)器的日志上,網(wǎng)站設(shè)計(jì)而這些信息對(duì)黑客來講是開放的,更
>>> 查看《商務(wù)網(wǎng)站安全與控制》更多相關(guān)資訊 <<<
本文地址:http://ccrxjh.com/news/html/3841.html
上一個(gè):df
下一個(gè):TCP序列號(hào)轟炸攻擊
