通过漏洞上传恶意软件
Apache 和 IIS(或其他任何 Web 服务器)都存在着恶意攻击者可以利用的漏洞。如果攻击者能够入侵服务器软件或服务器本身,那么就可以上传恶意代码,甚至上传整个网页,以便将恶意软件传送给网站访问者。举例来说,允许发生此类攻击的漏洞主要来自两种来源。
默认安装中的漏洞
在安装 Web 服务器软件时,人们通常会采用默认配置,但默认配置仅仅会简化网站的发布,而不能保证安全性。此外,Web 服务器的默认安装往往也会包含一些不必要的模块和服务。这些不必要的内容使攻击者有机会无限制地访问您的网站文件。
每一种操作系统、Web 服务器软件和版本都有着自己的漏洞,只需通过简单的 Web 搜索即可发现这些漏洞。在网站上线之前,应该解决所有已知漏洞。
存在问题的身份验证和会话管理
这种来源包含用户身份验证和活动会话管理的所有方面。据 Open Web Application Security Project (OWASP) 表示:“大量的账户和会话管理缺陷会导致用户或系统管理账户遭到入侵。开发团队往往会低估设计身份验证和会话管理架构的复杂程度,无法在网站的所有方面为提供妥善的保护。”
为了缓解此类漏洞造成的风险,负责管理 Web 服务器和站点的人员需要遵循对于所有密码的强度、存储和更改控制有所要求的密码策略。除此之外,Web 服务器的远程管理功能也应该加密,甚至应该考虑完全关闭,确保用户凭据不会通过传输的方式被窃。
通过网站中的漏洞上传恶意软件
如果网站仍然采用静态文本和图像,那么犯罪者就很难利用合法网站传播恶意软件。然而,如今的网站大多由数据库、复杂的代码和第三方应用程序构成,在进一步丰富用户体验的同时也给网站带来了无数种漏洞。
让我们以 WordPress 为例。这种博客编辑应用程序改变了网站的创建方式,它使任何略有技术知识的用户都能轻松创建具有丰富的多媒体内容的互动式网站。WordPress 极为流行,有超过 5000 万个网站采用了它。然而,WordPress 的易用性也是近来爆发的大规模攻击事件的诱因,在这次实践中,大约有 30,000 至 100,000 个运行该应用程序的网站将受害者重定向到恶意网站。
安装了流行插件的网站发现其网页被代码感染,导致访问者重定向到其他网站。随后,该网站会根据受害者计算机运行的操作系统和应用程序,以恶意软件感染受害者的计算机。感染了超过 500,000 台 Mac 计算机的闪回式木马(Flashback Trojan)正是通过这种方法传播的恶意程序之一。
然而,这样的例子并非仅限于 WordPress。Joomla!、Drupal、MediaWiki、Magento、Zen Cart 和其他许多应用程序都有着自身的漏洞,导致恶意黑客能够将恶意软件上传到这些站点并分发给访问者。
防止 Web 应用程序遭受攻击
对于利用 Web 应用程序的攻击者来说,必须要做到的就是找到某种类型的漏洞。遗憾的是,对于网站所有者而言,存在大量各种类型的已知漏洞,甚至无法一一列明。但有些漏洞可能是广为人知的:
跨站点脚本攻击 (XSS)
结构化查询语言注入
跨站点请求伪造注入
URL 重定向
代码执行
Cookie 操纵
还有其他许多漏洞。
减少 Web 应用程序威胁
幸运的是,如果您的站点存在某些可能被利用的已知漏洞,可以利用 Web 应用程序渗透技术,通过某种方法加以解决。通过全面测试网站的已知漏洞,即可预先解决这些威胁,避免发生利用这些漏洞向网站访问者分发恶意软件的攻击。为此,您可以利用多种开放源码或商业工具,也可以将服务外包给相关领域的专业企业。
尽管渗透测试有助于识别网站代码中需要修复的问题,但 Web 应用程序防火墙也能帮助您在威胁危及您的网站之前阻止威胁。通过识别已知攻击模式,即可在恶意黑客损害您的网站之前阻止他们。更为先进的 Web 应用程序防火墙甚至能识别非法流量,针对未知的零日攻击提供保护。
限制 Apache 中的漏洞
只要配置服务器,那么最佳实践就是仅安装必要的模块和应用程序。迄今为止,这种做法不但属于最佳实践,也是最常用的实践。
为了限制 Apache Web 服务器内的漏洞,还应采取其他一些基本措施。本文中将使用与 Linux? 的 Ubuntu 发布版相关的命令。对于在其他操作系统或发布版上运行的 Apache,很容易就能搜索到执行各任务所需的步骤。
网友评论