Web服务器安全,考虑的是应用布置时的运行环境安全。这个运行环境包括Web Server、脚本语言解释器、中间件等软件,这些软件所提供的一些配置参数,也可以起到安全保护的作用。
Apache安全
Web Server的安全我们关注两点:
- Web Server本身是否安全;
- Web Server是否提供了可使用的安全功能。
在Apache的漏洞史上出现过许多次高危漏洞,但这些高危漏洞,大部分是由Apache的Module造成的。Apache的核心几乎没有漏洞,Apache有许多官方非官方Module,默认启动的Module出现的漏洞非常少,大多数的高危漏洞集中在默认没有安装或enable的Module上。
因此检查Apache安全的第一件事情,就是检查Apache的Module安装情况,根据“最小权限原则”,应该尽可能地减少不必要的Module,对于要使用的Module则检查其对应版本是否存在已知的安全漏洞。
指定Apache进程以什么用户身份运行,应满足“最小权限原则”,Apache以root身份或者admin身份(高权限身份)运行是一件非常危险的事。它会带来两个后果:
1.当黑客入侵Web成功时,将直接获得一个高权限(比如root或admin)的shell;
2.应用程序本身将具备较高权限,当出现bug时,可能会带来较高风险,比如删除本地重要文件、杀死进程等不可预知的结果。
正确配置参数,保护好Apache Log(日志文件)。
Nginx安全
Nginx的高性能和高并发的处理能力使得用户在Web Server的选择上有了更多的空间。但是从安全的角度来看,Nginx近年来出现的影响默认安装版本的高危漏洞却比Apache更多。在Nginx
检查Apache安全时,更多的要关注Module的安全,而Nginx则需要注意软件本身的安全,及时升级软件版本。与Apache一样,Nginx也应该已单独的身份运行,这是所有Web Server、容器软件应该共通遵守的原则。
jBoss远程命令执行
jBoss是J2EE环境中一种流行的web容器,但是jBoss在默认安装时提供的一些功能却不太安全,如果配置不得当,则可能直接造成远程命令执行。
由于jBoss在默认安装时会有一个管理后台,叫做JMX-Console,它提供给管理员一些强大的功能,其中包括配置MBeans,这同样也会为黑客们大开方便之门。通过8080端口(默认安装时会监听8080端口)访问/jmx-console能够进入到这个管理页面,默认安装时访问JMX-Console是没有任何认证的。
在JMX-Console中,有多种可以远程执行命令的方法,再简单的方式,是通过DeploymentScanner远程加载一个war包。
Tomcat远程命令执行
Apache Tomcat与jBoss一样,默认也会运行在8080端口。它提供的Tomcat Manager的作用与JMX-Console类似,管理员也可在Tomcat Manager中部署war包。但是Tomcat Manager部署war包需要有manager权限,而这一权限是在配置文件中定义的,需要管理员权限才能配置。
HTTP Parameter Pollution(HPP攻击)
HPP攻击,简单的来说就是通过GET或POST向服务器发起请求时,提交两个相同的参数,那么服务器将如何选择呢?比如提交:
/?a=test&a=test1
在某些服务端环境中,会只取第一个参数;而在另一些环境中,比如.net环境中,则会变成:
a=test,test1
这种特性在绕过一些服务器端的逻辑判断时,会非常有用。
这种HPP攻击,和web服务器环境、服务器端使用的脚本语言有关。HPP本身可以看作服务器端软件的一种功能,参数选择的顺序是由服务器端软件决定的,当程序员不熟悉软件的这种功能时,就可能造成误用,或者程序涵盖范围不够全面,从而形成漏洞。
从防范上来看,由于HPP是服务器软件的一种功能,所以只需在具体的环境中注意服务器环境的参数的取值顺序即可。
小结
Web Server、web容器是Web应用的载体,是基础,他们的安全与否将直接影响到应用的安全性。在搭建服务器端环境时,需要注意最小权限规则,应该以独立的低权限身份运行Web进程,同时Web Server的一些参数能够优化性能,有助于缓解DDOS攻击,Web Server本身的漏洞也需要时刻关注。
