1.2服務器端安全問題WWW服務器端安全問題壹直是管理員和軟件提供商頭疼的問題。這些問題壹方面是服務器端操作系統的安全漏洞造成的,另壹方面是WWW服務軟件本身存在問題。系統管理員能做的就是主動關註所用軟件的相關漏洞報告,在黑客采取補救措施之前了解安全漏洞,從而有效防止黑客利用軟件漏洞進行攻擊。服務器端錯誤的配置是WWW服務器端安全攻擊的另壹個原因。有時候並不是因為管理員業務水平低,配置就錯了。配置錯誤的原因是WWW服務器軟件的維護配置文檔過於復雜、龐大甚至雜亂,有時甚至連WWW服務軟件提供商都無法提供壹個合理的安全配置。WWW服務器端安全威脅的另壹個來源是服務器端CGI(公共網關接口)程序的漏洞。CGI在給WWW網頁帶來活力的同時,也給WWW服務器帶來了潛在的危險。幾乎所有的CGI漏洞都來自用戶交互。別有用心的客戶端可以精心設計自己的數據錄入方式和數據內容,然後調用服務器端的CGI程序進行惡意攻擊。1.3客戶端安全問題(1)客戶端隨意從WWW網站下載應用,並在本地運行。WWW網站上有許多免費應用程序可供下載,免費應用程序是吸引客戶瀏覽WWW網站的重要手段。客戶端從WWW網站下載各種免費應用程序,可以節省資金,提高工作效率,這也是WWW網站提供免費應用程序的初衷。然而,在這種高效率和經濟誘惑的背後,可能有災難和陷阱。壹般來說,WWW網站提供的免費應用,尤其是壹些小工具,沒有程序發布者的真實信息,很難保證程序中沒有病毒,比如木馬或其他破壞客戶端系統的惡意代碼。如果客戶端主機下載並執行了包含惡意代碼的應用,後果不堪設想。不下載和使用來源不明的應用程序是保證WWW客戶端安全的基本要求。但是有些應用需要從WWW網站下載,比如有些應用的升級和補丁,還有瀏覽器的外部閱讀器和插件。如何保證這類程序沒有被非法替換或篡改,使下載者能夠確認程序來源的真實性和程序內容的完整性,是代碼簽名技術解決的主要問題。代碼簽名技術的主要思想是讓軟件發布者在壹個認證機構註冊,認證機構會為其頒發壹個公鑰證書。當軟件發行商開發新的應用程序供其他人在WWW網站上下載時,它使用自己的私鑰對該應用程序進行數字簽名。然後將您自己的公鑰證書和您自己的數字簽名與應用程序壹起發布到WWW網站上,供用戶下載。下載後,下載器使用公鑰證書中的公鑰驗證數字簽名的有效性。如果驗證通過,就可以確定軟件發行者的真實身份。目前,代碼簽名技術還沒有在互聯網中得到廣泛應用,但是隨著互聯網安全問題的日益突出,特別是WWW客戶端的安全問題,代碼簽名技術最終會得到業界的認可。有人建議將下載的不明應用的執行權限限制在特定範圍內,對可疑程序的操作權限進行限制。這個想法還在討論階段,目前還沒有操作系統能滿足這個需求。(2)JavaScript和Java小程序的威脅JavaScript是壹種流行的腳本語言,它的代碼駐留在HTML文件中。網景導航器和微軟瀏覽器都支持JavaScript。JavaScript代碼經常被用來操縱瀏覽器。使用JavaScript,您可以創建壹個新窗口,在表單中填寫數據,跳轉到另壹個URL地址,在本地處理圖像,以及更改HTML的內容。比如,通過在HTML文件中嵌入JavaScript,可以控制瀏覽器的可視原件是否顯示,也可以控制瀏覽器狀態欄顯示的信息。從理論上講,JavaScript是安全的,因為JavaScript沒有辦法訪問客戶端文件系統,也沒有辦法連接其他計算機網絡系統。但是,也有很多利用JavaScript攻擊客戶端的成功案例。最簡單的攻擊就是用JavaScript耗盡客戶端的資源,讓客戶端癱瘓,不得不重啟。這次攻擊毫無意義,只是壹個惡作劇。然而,壹些惡意頁面可以利用JavaScript收集客戶端信息,並偽造虛假頁面,使客戶端上當。在HTML文件中嵌入Java Applet可以讓WWW服務器發揮更強大的作用。Java Applet在瀏覽器的Java虛擬機(JVM)中運行。JVM使用“沙盒技術”來限制Java小程序的系統調用等危險行為。這大大提高了WWW客戶端的安全性,但這並不意味著對Java小程序沒有安全威脅。這主要表現在JVM實現中的安全漏洞,為別有用心的人提供了可乘之機。F.De Paoli等人通過在HTML文件中嵌入Java Applet,成功實現了對WWW客戶端的攻擊,如收集客戶端用戶的個人信息、截取用戶輸入表單中的數據等。D.Martin等人發現使用Java Applet可以繞過防火墻的壹些限制進行連接。JavaScript和Java Applet攻擊WWW客戶端的例子越來越多,但有效防止這類攻擊的方法卻很少。客戶端現在能做的就是,當他們對自己瀏覽的網站產生懷疑時,通過設置瀏覽器禁用JavaScript和Java Applet來防止可能的威脅。2加強WWW安全的相關措施加強WWW安全的相關措施主要有:(1)提高系統管理員的安全意識和防黑客水平,盡量避免黑客因誤配置而留下可乘之機。目前有很多黑客論壇。黑客之間的經驗和技巧交流真的很火爆,可見黑客的情緒有多高。但是關於如何防禦的論壇並不是很紅火,這說明大部分管理員並沒有積極提高自己的反黑水平。系統管理員必須系統地了解他們所管理的WWW平臺的技術特點和安全問題。(2)WWW軟件提供商應給出安全配置的建議演示。(3)軟件提供商應盡快提供安全漏洞的解決方案或補丁。(4)對4)WWW服務器中使用的CGI程序進行嚴格檢查,借鑒已有的CGI安全問題,保證CGI程序的健壯性。(5)重要業務切勿在瀏覽器端下載或運行不明來源的應用,防止系統被植入木馬或病毒。(6)利用現有的安全產品,提高安全系數。目前,安全工具包括防火墻產品、反病毒產品、入侵檢測產品、漏洞檢測產品、特洛伊檢測產品等。3結論目前對WWW安全的研究主要集中在反病毒、防火墻、入侵檢測、系統漏洞檢測、特洛伊木馬檢測等領域,根據研究結果有相對成熟的產品。然而,對CGI程序安全、腳本語言安全、Java Applet安全和插件安全的研究還處於有害分析和實驗階段。如果能找出有害代碼的特征,建立特征庫,根據特征庫檢查代碼的安全性,就能保證CGI、腳本語言、Java小程序、插件的應用。現有的加密技術、認證技術和訪問控制技術在理論上完全可以保證通信安全。然而,WWW的安全問題越來越嚴重,主要是因為WWW安全涉及服務器安全、瀏覽器安全和通信安全、主機安全以及底層通信協議的安全。協調各模塊之間的關系,加強各模塊的安全性,應該是今後WWW安全研究的出發點。