优惠活动 - 10周年庆本月新客福利
优惠活动 - 10周年庆本月新客福利
优惠活动 - 10周年庆本月新客福利

商务网站安全与控制

132. 商务网站安全与控制   
 
5.2.4 网络软件和网络服务的漏洞 便可以提供许多关于 
 
1. Finger的漏洞。在TCP/P协议中, Finger程序只需一用文此信息进行字典攻击。 主机的信息,比如谁正在登录、登录时间和登录地点等。“黑客同以 上的软 软件,而不正确的配置 
 
2.匿名FTP。匿名FTP允许任何网络用户通过FTP访问系统 亥具有可工作的 1 Shell所以它 将严重威胁系统的安全FTP虽然是一个合法的账户,但它不应 Ftp:/home/ftp/bin/ 在主机的Passwd文件中的账户信息应是: ftp:*: 400: 400: Anonymous 的权限是11;~ ftp/etc/的 false,还应该保证Ftp 的主目录权限为0555;~ ftp/bin、~ ftp/etc |系统的用户都不应该具有 权限是444;/s/spool/mail/ftp的权限是0400。任何以Ftp 登录到 录内设置“特洛依术马”来 创建文件和目录的权限,因为黑客完全可以在一个具有写权限的 文样存在让用户破坏系统 进行攻击。首先,多数FTP服务器可以用Anonymous用户名登录, +及磁盘空间。 和文件的可能:其次,上载的软件可能有破坏性,大量上载的文件会耗费机时 信息的 .建立匿 名服务器时,应当确保用户不能访问系统的重要部分.尤其是包含系统配置 文件目录。注意不要上用户获得SHELL级的用户访问权限,因为普通文件传输协议( TFTP 支持无认证操作,应屏蔽掉。 FTp服务允许客户将文件从一个机器复制到另一个机器 ,客户端一般需要验证。FTP有 
 
安全漏洞是人所共知的,而且现在的FTP正变得非常复杂和难于理解,功能也不断增强。比 如,FTP系统的一个主要安全漏洞是它可以被黑客骗取某个用户的 的权限,而黑客实际上是以 公共账户方式登录的。 
 
FTP服务器的目录权限是很重要的,一旦侵人,第一件事就是看是否是可写目录。如果 可以,他便会把包含其名字和当前机器的. rhosts文件放到该目录下。由于该目录通常是ftp 用户(ftpd)的主目录,于是一个可以进人系统的远程登录就大功告成了。 
 
TFTP是一个相当危险的文件传输服务,由于它根本不作登录与控制审查,任何人可以通 过该命令取走服务器上的具有读权限的文件。 
 
3.远程登录。在网络上运行诸如rlogin、rcprexec等远程命令时,由于要跨越一些网络的 传输口令,而TCP/IP对所传输的信息又不进行加密,所以,网络黑客只要在所攻击的目标主 机的IP包所经过的一条路由上运行“嗅探器”的程序,就可以截取目标口令。小面: 
 
TELNET的最大安全问题是客户登录到服务器的时候用的明文传输,那么登录的用户名 和口令易被监听到。 
 
4.不安全的网络服务。在TCP/IP网络中,echo、systat、netstat、bootp、udp、tftp、link、  supdup .sunprc、news .sump、xdmcp exec login .shell、printer biff who .syslog、uucp .route、open- 
 
win. NFS.XII等服务被认为是不安全的,尤其是那些依赖于人工呼叫包的UDP的服务。孔 5.电子邮件。电子邮件E- mail是当今网络上使用最多的一项服务,对于网络用户,最担 心的莫过于电子邮件的安全和保密。 
 
在计算机网络中最容易被窃的就是电子邮件的信息。电子邮件所经过的传输过程是这样 为:首先在电子邮件SMTP服务器上,将使用者的电子邮件“打包”,然后转化成一组组的二进 时代码,以便于网络传输;由于电子邮件服务器主机与收信人的电子邮件服务器主机并不一定 

第5章 电子商务基础 133  是直接连接在一起的,其中必然要经过许名 到线路畅通,才会沿最佳路径向会心许多网络主机转发,在每个节点邮件将被临时存贮,直 
 
个主机节 i点传送,而每经过一个节点就多了一次被截取的 另外,最简单的偷 窃电子邮件的手 
 
电子邮件给网络所带来的另 段就是 偷取网络用户的用户密码。 
 
之外,电子邮件所附带的文档如 个安全问题是E- mail计算机病毒。目前,除“蠕虫”病毒 件,就极可能带有病毒。 Lotus、Excel电子数据表文件,特别是Miroot的Word文 (1)在UNIX平台上常 用的邮件 
 
别名和邮件列表的功能。 这个程序通常以Roo账号来运行,这也就存在着潜在的危险。这个 牛服务器是sendmailo sendmail支持邮件队列、重写信头、 
 
特点如果被攻击者利用,他就可以进 行更多的破坏活动,不仅仅只是删除用户的邮件。年啊 (2)电子邮件的最普遍的问题 是角色欺骗。不能相信电子邮件上的地址,因为发送者可以 伪造一个假的地址,或在传送 过程 中修改题头,或发送者直接连接到目标主机的 SMTP 端口, 自己,发送邮件。 
 
看或修改。题头可以被窜改,用来隐藏真 (3)分外,电子邮件的题头和内容是用明文传送的所以内容在传选过程中可能被他人偷 真实的发送者,或把信息转发到别处。电子邮件炸弹是 一种基于电子邮件的攻击形式,被攻 攻击主机被电子邮件所淹没直到系统崩溃。电子邮件炸弹 可以造成服务器拒绝服务或整个系统崩溃。 
 
换代,其功能和安全性日趋完善。但是UNIX系统还存在许多漏洞。 6.操作系统的安全漏洞。国内网络主机一般以UNIX为操作系 系统。 UNIX历经几次更新 
 
安全保护带来了很大的隐患。曾有人在Itemet上选择了几个网点,用字典攻击法在给出用 7.日令设置的隐患。当前,网络用户中谨慎设置口令的用户很少。这对计算机内信息的 户名的条件下,测出70%的用户口令只用了30多分钟,80%用了两小时,83%用了48小时。 目前常见的不安全口令包括以下几种: 
 
(1)用“姓名+数字”作口令,许多用户用自已或与自己有关的人的姓名再加上其中某人的 生日等作口令; 
 
身(2)用单个常用的单词或操作系统(如DOS等)的命令作口令;则都承临微源制 合t (3)多个主机用同一个口令,将导致一个主机口令被窃会影响多台主机的安全; 蛋(4)只使用一些小写字母作为口令,这样使字典攻击法攻破的概率大增。 
 
8.Www服务的安全问题。Web浏览器和服务器都难以保证安全。因为Web浏览器比 FTP更易于传送和执行正常的程序,所以它也更易于传送和执行病毒程序。我们见到的一个 公开报道的Web服务的一个安全漏洞是:表单(FORM)总的隐藏字段(HIDDEN)是用于向 CGI程序传送测览器不可见的信息的,程序员往往通过它来传递一-些秘密的信息,但是事实上 它并不是真正隐藏的。因为它是表单的路径允许的特性,所以不受防火墙的保护。时與的事 另一个漏洞是,浏览器IE与Navigator 在处理从用户到节点信息的方式上,在通过Web 进行电子交易时,许多节点都要求用户填人自己的信用卡号,并采用GET协议以加密形式传 送到节点。但如果用户在填写完表格后尚未提交又连接到另一个节点时如没有清除信息,所 有信息(包括信用卡号)都被传送到下一台机器的日志上,网站设计而这些信息对黑客来讲是开放的,更 

本文地址:https://www.hy755.cn//article/3841.html
相关文章:
最新文章: