Apache服務(wù)器配置安全規(guī)范及其缺陷
[ 2007-03-25 02:49:34 | 作者: sun ]
正如我們前言所說(shuō)盡管Apache服務(wù)器應(yīng)用最為廣泛,設(shè)計(jì)上非常安全的程序。但是同其它應(yīng)用程序一樣,Apache也存在安全缺陷。畢竟它是完全源代碼,Apache服務(wù)器的安全缺陷主要是使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denial of service)、緩沖區(qū)溢出攻擊以及被攻擊者獲得root權(quán)限三缺陷和最新的惡意的攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊。合理的網(wǎng)絡(luò)配置能夠保護(hù)Apache服務(wù)器免遭多種攻擊。我們來(lái)介紹一下主要的安全缺陷。
主要安全缺陷
(1)使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denial of service)的安全缺陷
這種方法攻擊者會(huì)通過(guò)某些手段使服務(wù)器拒絕對(duì)HTTP應(yīng)答。這樣會(huì)使Apache對(duì)系統(tǒng)資源(CPU時(shí)間和內(nèi)存)需求的劇增,最終造成Apache系統(tǒng)變慢甚至完全癱瘓。
(2)緩沖區(qū)溢出的安全缺陷
該方法攻擊者利用程序編寫的一些缺陷,使程序偏離正常的流程。程序使用靜態(tài)分配的內(nèi)存保存請(qǐng)求數(shù)據(jù),攻擊者就可以發(fā)送一個(gè)超長(zhǎng)請(qǐng)求使緩沖區(qū)溢出。
(3)被攻擊者獲得root權(quán)限的安全缺陷
該安全缺陷主要是因?yàn)锳pache服務(wù)器一般以root權(quán)限運(yùn)行(父進(jìn)程),攻擊者會(huì)通過(guò)它獲得root權(quán)限,進(jìn)而控制整個(gè)Apache系統(tǒng)。
(4)惡意的攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊的安全缺陷
這個(gè)最新在6月17日發(fā)現(xiàn)的漏洞,它主要是存在于Apache的chunk encoding中,這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。 所有說(shuō)使用最高和最新安全版本對(duì)于加強(qiáng)Apache Web服務(wù)器的安全是至關(guān)重要的。
正確維護(hù)和配置Apache服務(wù)器
雖然Apache服務(wù)器的開發(fā)者非常注重安全性,由于Apache服務(wù)器其龐大的項(xiàng)目, 難免會(huì)存在安全隱患。正確維護(hù)和配置Apache WEB服務(wù)器就很重要了。我們應(yīng)注意的一些問(wèn)題:
(1)Apache服務(wù)器配置文件
Apache Web服務(wù)器主要有三個(gè)配置文件,位于/usr/local/apache/conf目錄下。 這三個(gè)文件是:
httpd.conf----->主配置文件
srm.conf------>填加資源文件
access.conf--->設(shè)置文件的訪問(wèn)權(quán)限
(2)Apache服務(wù)器的目錄安全認(rèn)證
在Apache Server中是允許使用 .htaccess做目錄安全保護(hù)的,欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。這樣可做為專門管理網(wǎng)頁(yè)存放的目錄或做為會(huì)員區(qū)等。在保護(hù)的目錄放置一個(gè)檔案,檔名為.htaccss。
AuthName "會(huì)員專區(qū)"
AuthType "Basic"
AuthUserFile "/var/tmp/xxx.pw" ----->把password放在網(wǎng)站外 require valid-user 到apache/bin目錄,建password檔 % ./htpasswd -c /var/tmp/xxx.pw username1 ----->第一次建檔要用參數(shù)"-c" % /htpasswd /var/tmp/xxx.pw username2 這樣就可以保護(hù)目錄內(nèi)的內(nèi)容,進(jìn)入要用合法的用戶。
注:采用了Apache內(nèi)附的模組。
也可以采用在httpd.conf中加入:
options indexes followsymlinks
allowoverride authconfig
order allow,deny
allow from all
(3)Apache服務(wù)器訪問(wèn)控制
我們就要看三個(gè)配置文件中的第三個(gè)文件了,即access.conf文件,它包含一些指令控制允許什么用戶訪問(wèn)Apache目錄。應(yīng)該把deny from all設(shè)為初始化指令,再使用allow from指令打開訪問(wèn)權(quán)限。
order deny,allow
deny from all
allow from safechina.net
設(shè)置允許來(lái)自某個(gè)域、IP地址或者IP段的訪問(wèn)。
(4)Apache服務(wù)器的密碼保護(hù)問(wèn)題
我們?cè)偈褂?htaccess文件把某個(gè)目錄的訪問(wèn)權(quán)限賦予某個(gè)用戶。系統(tǒng)管理員需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打開目錄的訪問(wèn)控制。如:
AuthName PrivateFiles
AuthType Basic
AuthUserFile /path/to/httpd/users
require Phoenix
# htpasswd -c /path/to/httpd/users Phoenix
設(shè)置Apache服務(wù)器的WEB和文件服務(wù)器
我們?cè)贏pache服務(wù)器上存放WEB服務(wù)器的文件,供用戶訪問(wèn),并設(shè)置/home/ftp/pub目錄為文件存放區(qū)域,用http://download.your.com/pub/來(lái)訪問(wèn)。在防火墻上設(shè)置apache反向代理技術(shù),由防火墻代理訪問(wèn)。
(1)Apache服務(wù)器的設(shè)置
Apache服務(wù)器采用默認(rèn)配置。主目錄為/home/httpd/html,主機(jī)域名為Phoenix.your.com, 且別名到www.your.com中, 并且設(shè)置srm.conf加一行別名定義如下:
Alias /pub /home/ftp/pub/
更改默認(rèn)應(yīng)用程序類型定義如下:
DefaultType application/octet-stream
最后在/etc/httpd/conf/access.conf中增加一項(xiàng)定義
Options Indexes
AllowOverride AuthConfig
order allow,deny
allow from all
注:Options Indexes允許在找不到index.html文件的情況下允許列出目錄/文件列表。AllowOverride AuthConfig允許做基本的用戶名和口令驗(yàn)證。這樣的話,需要在/home/ftp/pub目錄下放入.htaccess,內(nèi)容如下:
[root@ pub]# more .htaccess
AuthName Branch Office Public Software Download Area
AuthType Basic
AuthUserFile /etc/.usrpasswd
require valid-user
用# htpasswd -c /etc/.usrpasswd user1 分別創(chuàng)建不同的允許訪問(wèn)/pub下文件服務(wù)的外部用戶名和口令。
(2)在防火墻上配置反向代理技術(shù).
在/etc/httpd/conf/httpd.conf 中加入 NameVirtualHost xxx.xxx.xxx.xxx # xxx.xxx.xxx.xxx ----->是防火墻外部在互聯(lián)網(wǎng)上永久IP地址:
servername www.your.com
errorlog /var/log/httpd/error_log
transferlog /var/log/httpd/access_log
rewriteengine on
proxyrequests off
usecanonicalname off
rewriterule ^/(.*)$ http://xxx.xxx.xx.x/$1 Apache服務(wù)器的IP地址。
servername http://download.your.com/pub/
errorlog /var/log/httpd/download/error_log
transferlog /var/log/httpd/download/access_log
rewriteengine on
proxyrequests off
usecanonicalname off
rewriterule ^/(.*)$ http://xxx.xxx.xx.x/$1 同上Apache服務(wù)器的IP地址。
設(shè)置防火墻上的DNS,讓download.your.com和www.your.com 都指向防火墻的外部網(wǎng)地址xxx.xxx.xxx.xxx。
用http://www.your.com訪問(wèn)主頁(yè),用http://download.your.com/pub/訪問(wèn)公共文件的下載區(qū)。
注:還需要在apache服務(wù)器主機(jī)上建立目錄/var/log/httpd/download/,否則會(huì)出錯(cuò)。另外,也可以設(shè)置防火墻主機(jī)上的/home/httpd/html/index.html的屬性為750來(lái)阻止訪問(wèn),這是防外部用戶能訪問(wèn)到防火墻上的Apache服務(wù)器的http://www.your.com中。
總結(jié):Apache Server是一個(gè)非常優(yōu)秀,非常棒的服務(wù)器,只要你正確配置和維護(hù)好Apache服務(wù)器,你就會(huì)感受到Apache Server 所帶來(lái)的好處,同樣希望你能夠通過(guò)閱讀本文達(dá)到理論和實(shí)踐雙豐收的目的。
驗(yàn)證你的Apache來(lái)源途徑
不要以為在Google上能夠搜索到合適的Apache版本。如果你需要下載最新版本的Apache,那么你最好通過(guò)一個(gè)權(quán)威的鏡像站點(diǎn)來(lái)下載。然而,即使這樣也可能有問(wèn)題,事實(shí)上,曾經(jīng)就有黑客入侵過(guò)apache.org官方網(wǎng)站。所以,采用類似PGP的工具來(lái)驗(yàn)證Apache的數(shù)字簽名就顯得尤為重要。
保持更新Apache的補(bǔ)丁程序
如果你安裝了Apache,你就必須及時(shí)更新安全補(bǔ)丁。如果沒(méi)有及時(shí)的更新,那你的系統(tǒng)很容易受到網(wǎng)絡(luò)上那些高危病毒的攻擊。幸好,有幾個(gè)簡(jiǎn)便方法可以更新Apache的補(bǔ)丁。參考我們關(guān)于保持更新Apache補(bǔ)丁的文章了解更多關(guān)于Apache服務(wù)器公告列表、Linux包管理系統(tǒng)和RedHat操作系統(tǒng)更新服務(wù)的信息。
避免使用.htaccess文件(分布式配置文件)
很多情況下需要幾個(gè)管理員和內(nèi)容管理者共同管理Apache服務(wù)器。一個(gè)常用的共享管理辦法就是使用.htaccess文件,這樣可以很靈活地對(duì)管理員以外的用戶提供不同的配置控制權(quán)限。然而,這些文件也使得在集中安全管理之外還有相當(dāng)多的安全控制權(quán)限——這些文件允許安全專業(yè)人士以外的其他用戶改變服務(wù)器的訪問(wèn)控制許可配置。那些對(duì)粒度訪問(wèn)控制根本不熟悉的用戶修改的配置可能在無(wú)意中會(huì)危害到你的系統(tǒng)安全。所以,除非必須使用,否則我們應(yīng)該盡可能地避免使用這種訪問(wèn)控制系統(tǒng)。
監(jiān)視系統(tǒng)日志
Apache為管理員提供了很全面的日志管理工具來(lái)對(duì)服務(wù)器的活動(dòng)進(jìn)行事后分析。Apache提供了多種不同的記錄日志,但是對(duì)安全專業(yè)人士最重要的是訪問(wèn)日志。這個(gè)靈活的工具還具有了相當(dāng)多的自定義功能,你可以按照你的需要很方便地記錄盡可能多或者少的日志,以保證有效的分析。至少,你應(yīng)該記錄那些失敗的認(rèn)證企圖和系統(tǒng)產(chǎn)生的錯(cuò)誤。使用像AWStats一樣的免費(fèi)工具可以很輕松地完成分析任務(wù)。但是必須明確的一點(diǎn)是:監(jiān)視日志只是一種事后分析手段。你可以利用它回顧和判斷對(duì)服務(wù)器的攻擊(和攻擊企圖),但是希望及時(shí)查看日志來(lái)對(duì)緊急情況做出快速反應(yīng)是不可能的。如果需要進(jìn)行預(yù)判反應(yīng),你應(yīng)該考慮使用入侵預(yù)防系統(tǒng)如信息安全雜志評(píng)選的2003年度最新興技術(shù)獎(jiǎng)得主:Lucid Security公司的ipAngel系統(tǒng)。
管理文件系統(tǒng)
我們已經(jīng)討論了使用(或不使用).htaccess文件對(duì)管理文件訪問(wèn)權(quán)限的重要性。禁止通過(guò)文件系統(tǒng)許可對(duì)Apache服務(wù)器進(jìn)行非授權(quán)修改也是很重要的。特別值得一提的是,你應(yīng)該保證只有根用戶才能修改存儲(chǔ)在“/usr/local/apache ”目錄的文件(或者你選擇的任何Apache服務(wù)器的根目錄)。確保只有根用戶才能修改日志文件也很關(guān)鍵,這樣可以防止用戶掩蓋他們的操作。
Apache 服務(wù)器日常配置
1、如何設(shè) 置請(qǐng)求等待時(shí)間
在httpd.conf里面設(shè)置:
TimeOut n
其中n為整數(shù),單位是秒。
設(shè)置這個(gè)TimeOut適用于三種情況:
2、如何接收一個(gè)get請(qǐng)求的總時(shí)間
接收一個(gè)post和put請(qǐng)求的TCP包之間的時(shí)間
TCP包傳輸中的響應(yīng)(ack)時(shí)間間隔
3、如何使得apache監(jiān)聽在特定的端口
修改httpd.conf里面關(guān)于Listen的選項(xiàng),例如:
Listen 8000
是使apache監(jiān)聽在8000端口
而如果要同時(shí)指定監(jiān)聽端口和監(jiān)聽地址,可以使用:
Listen 192.170.2.1:80
Listen 192.170.2.5:8000
這樣就使得apache同時(shí)監(jiān)聽在192.170.2.1的80端口和192.170.2.5的8000端口。
當(dāng)然也可以在httpd.conf里面設(shè)置:
Port 80
這樣來(lái)實(shí)現(xiàn)類似的效果。
4、如何設(shè)置apache的最大空閑進(jìn)程數(shù)
修改httpd.conf,在里面設(shè)置:
MaxSpareServers n
其中n是一個(gè)整數(shù)。這樣當(dāng)空閑進(jìn)程超過(guò)n的時(shí)候,apache主進(jìn)程會(huì)殺掉多余的空閑進(jìn)程而保持空閑進(jìn)程在n,節(jié)省了系統(tǒng)資源。如果在一個(gè)apache非常繁忙的站點(diǎn)調(diào)節(jié)這個(gè)參數(shù)才是必要的,但是在任何時(shí)候把這個(gè)參數(shù)調(diào)到很大都不是一個(gè)好主意。
同時(shí)也可以設(shè)置:
MinSpareServers n
來(lái)限制最少空閑進(jìn)程數(shù)目來(lái)加快反應(yīng)速度。
5、apache如何設(shè)置啟動(dòng)時(shí)的子服務(wù)進(jìn)程個(gè)數(shù)
在httpd.conf里面設(shè)置:
StartServers 5
這樣啟動(dòng)apache后就有5個(gè)空閑子進(jìn)程等待接受請(qǐng)求。
也可以參考MinSpareServers和MaxSpareServers設(shè)置。
6、如何在apache中設(shè)置每個(gè)連接的最大請(qǐng)求數(shù)
在httpd.conf里面設(shè)置:
MaxKeepAliveRequests 100
這樣就能保證在一個(gè)連接中,如果同時(shí)請(qǐng)求數(shù)達(dá)到100就不再響應(yīng)這個(gè)連接的新請(qǐng)求,保證了系統(tǒng)資源不會(huì)被某個(gè)連接大量占用。但是在實(shí)際配置中要求盡量把這個(gè)數(shù)值調(diào)高來(lái)獲得較高的系統(tǒng)性能。
7、如何在apache中設(shè)置session的持續(xù)時(shí)間
在apache1.2以上的版本中,可以在httpd.conf里面設(shè)置:
KeepAlive on
KeepAliveTimeout 15
這樣就能限制每個(gè)session的保持時(shí)間是15秒。session的使用可以使得很多請(qǐng)求都可以通過(guò)同一個(gè)tcp連接來(lái)發(fā)送,節(jié)約了網(wǎng)絡(luò)資源和系統(tǒng)資源。
8、如何使得apache對(duì)客戶端進(jìn)行域名驗(yàn)證
可以在httpd.conf里面設(shè)置:
HostnameLookups on off double
如果是使用on,那么只有進(jìn)行一次反查,如果用double,那么進(jìn)行反查之后還要進(jìn)行一次正向解析,只有兩次的結(jié)果互相符合才行,而off就是不進(jìn)行域名驗(yàn)證。
如果為了安全,建議使用double;為了加快訪問(wèn)速度,建議使用off。
9、如何使得apache只監(jiān)聽在特定的ip
修改httpd.conf,在里面使用
BindAddress 192.168.0.1
這樣就能使得apache只監(jiān)聽外界對(duì)192.168.0.1的http請(qǐng)求。如果使用:
BindAddress *
就表明apache監(jiān)聽所有網(wǎng)絡(luò)接口上的http請(qǐng)求。
當(dāng)然用防火墻也可以實(shí)現(xiàn)。
10、apache中如何限制http請(qǐng)求的消息主體的大小
在httpd.conf里面設(shè)置:
LimitRequestBody n
n是整數(shù),單位是byte。cgi腳本一般把表單里面內(nèi)容作為消息的主體提交給服務(wù)器處理,所以現(xiàn)在消息主體的大小在使用cgi的時(shí)候很有用。比如使用cgi來(lái)上傳文件,如果有設(shè)置:
LimitRequestBody 102400
那么上傳文件超過(guò)100k的時(shí)候就會(huì)報(bào)錯(cuò)。
11、如何修改apache的文檔根目錄
修改httpd.conf里面的DocumentRoot選項(xiàng)到指定的目錄,比如:
DocumentRoot /www/htdocs
這樣http://localhost/index.html就是對(duì)應(yīng)/www/htdocs/index.html
12、如何修改apache的最大連接數(shù)
在httpd.conf中設(shè)置:
MaxClients n
n是整數(shù),表示最大連接數(shù),取值范圍在1和256之間,如果要讓apache支持更多的連接數(shù),那么需要修改源碼中的httpd.h文件,把定義的HARD_SERVER_LIMIT值改大然后再編譯。
13、如何使每個(gè)用戶有獨(dú)立的cgi-bin目錄
有兩種可選擇的方法:
(1)在Apache配置文件里面關(guān)于public_html的設(shè)置后面加入下面的屬性:
ScriptAliasMatch ^/~([^/]*)/cgi-bin/(.*) /home/$1/cgi-bin/$2
(2)在Apache配置文件里面關(guān)于public_html的設(shè)置里面加入下面的屬性:
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2"
bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
<td bgcolor="e6e6e6" class="code" style="font-size:9pt">
<pre><ccid_code>
Options ExecCGI
SetHandler cgi-script
14、如何調(diào)整Apache的最大進(jìn)程數(shù)
Apache允許為請(qǐng)求開的最大進(jìn)程數(shù)是256,MaxClients的限制是256.如果用戶多了,用戶就只能看到Waiting for reply....然后等到下一個(gè)可用進(jìn)程的出現(xiàn)。這個(gè)最大數(shù),是Apache的程序決定的--它的NT版可以有1024,但Unix版只有256,你可以在src/include/httpd.h中看到:
#ifndef HARD_SERVER_LIMIT
#ifdef WIN32
#define HARD_SERVER_LIMIT 1024
#else
#define HARD_SERVER_LIMIT 256
#endif
#endif
你可以把它調(diào)到1024,然后再編譯你的系統(tǒng)。
15、如何屏蔽來(lái)自某個(gè)Internet地址的用戶訪問(wèn)Apache服務(wù)器
可以使用deny和allow來(lái)限制訪問(wèn),比如要禁止202.202.202.xx網(wǎng)絡(luò)的用戶訪問(wèn):
order deny,allow
deny from 202.202.202.0/24
16、如何在日志里面記錄apache瀏覽器和引用信息
你需要把mod_log_config編譯到你的Apache服務(wù)器中,然后使用下面類似的配置:
CustomLog logs/access_log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i""
17、如何修改Apache返回的頭部信息
問(wèn)題分析:當(dāng)客戶端連接到Apache服務(wù)器的時(shí)候,Apache一般會(huì)返回服務(wù)器版本、非缺省模塊等信息,例如:
Server: Apache/1.3.26 (Unix) mod_perl/1.26
解決:
你可以在Apache的配置文件里面作如下設(shè)置讓它返回的關(guān)于服務(wù)器的信息減少到最少:
ServerTokens Prod
注意:
這樣設(shè)置以后Apache還會(huì)返回一定的服務(wù)器信息,比如:
Server: Apache
但是這個(gè)不會(huì)對(duì)服務(wù)器安全產(chǎn)生太多的影響,因?yàn)楹芏鄴呙柢浖菕呙璧臅r(shí)候是不顧你服務(wù)器返回的頭部信息的。你如果想把服務(wù)器返回的相關(guān)信息變成:
Server: It iS a nOnE-aPaCHe Server
那么你就要去修改源碼了。
主要安全缺陷
(1)使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denial of service)的安全缺陷
這種方法攻擊者會(huì)通過(guò)某些手段使服務(wù)器拒絕對(duì)HTTP應(yīng)答。這樣會(huì)使Apache對(duì)系統(tǒng)資源(CPU時(shí)間和內(nèi)存)需求的劇增,最終造成Apache系統(tǒng)變慢甚至完全癱瘓。
(2)緩沖區(qū)溢出的安全缺陷
該方法攻擊者利用程序編寫的一些缺陷,使程序偏離正常的流程。程序使用靜態(tài)分配的內(nèi)存保存請(qǐng)求數(shù)據(jù),攻擊者就可以發(fā)送一個(gè)超長(zhǎng)請(qǐng)求使緩沖區(qū)溢出。
(3)被攻擊者獲得root權(quán)限的安全缺陷
該安全缺陷主要是因?yàn)锳pache服務(wù)器一般以root權(quán)限運(yùn)行(父進(jìn)程),攻擊者會(huì)通過(guò)它獲得root權(quán)限,進(jìn)而控制整個(gè)Apache系統(tǒng)。
(4)惡意的攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊的安全缺陷
這個(gè)最新在6月17日發(fā)現(xiàn)的漏洞,它主要是存在于Apache的chunk encoding中,這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。 所有說(shuō)使用最高和最新安全版本對(duì)于加強(qiáng)Apache Web服務(wù)器的安全是至關(guān)重要的。
正確維護(hù)和配置Apache服務(wù)器
雖然Apache服務(wù)器的開發(fā)者非常注重安全性,由于Apache服務(wù)器其龐大的項(xiàng)目, 難免會(huì)存在安全隱患。正確維護(hù)和配置Apache WEB服務(wù)器就很重要了。我們應(yīng)注意的一些問(wèn)題:
(1)Apache服務(wù)器配置文件
Apache Web服務(wù)器主要有三個(gè)配置文件,位于/usr/local/apache/conf目錄下。 這三個(gè)文件是:
httpd.conf----->主配置文件
srm.conf------>填加資源文件
access.conf--->設(shè)置文件的訪問(wèn)權(quán)限
(2)Apache服務(wù)器的目錄安全認(rèn)證
在Apache Server中是允許使用 .htaccess做目錄安全保護(hù)的,欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。這樣可做為專門管理網(wǎng)頁(yè)存放的目錄或做為會(huì)員區(qū)等。在保護(hù)的目錄放置一個(gè)檔案,檔名為.htaccss。
AuthName "會(huì)員專區(qū)"
AuthType "Basic"
AuthUserFile "/var/tmp/xxx.pw" ----->把password放在網(wǎng)站外 require valid-user 到apache/bin目錄,建password檔 % ./htpasswd -c /var/tmp/xxx.pw username1 ----->第一次建檔要用參數(shù)"-c" % /htpasswd /var/tmp/xxx.pw username2 這樣就可以保護(hù)目錄內(nèi)的內(nèi)容,進(jìn)入要用合法的用戶。
注:采用了Apache內(nèi)附的模組。
也可以采用在httpd.conf中加入:
options indexes followsymlinks
allowoverride authconfig
order allow,deny
allow from all
(3)Apache服務(wù)器訪問(wèn)控制
我們就要看三個(gè)配置文件中的第三個(gè)文件了,即access.conf文件,它包含一些指令控制允許什么用戶訪問(wèn)Apache目錄。應(yīng)該把deny from all設(shè)為初始化指令,再使用allow from指令打開訪問(wèn)權(quán)限。
order deny,allow
deny from all
allow from safechina.net
設(shè)置允許來(lái)自某個(gè)域、IP地址或者IP段的訪問(wèn)。
(4)Apache服務(wù)器的密碼保護(hù)問(wèn)題
我們?cè)偈褂?htaccess文件把某個(gè)目錄的訪問(wèn)權(quán)限賦予某個(gè)用戶。系統(tǒng)管理員需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打開目錄的訪問(wèn)控制。如:
AuthName PrivateFiles
AuthType Basic
AuthUserFile /path/to/httpd/users
require Phoenix
# htpasswd -c /path/to/httpd/users Phoenix
設(shè)置Apache服務(wù)器的WEB和文件服務(wù)器
我們?cè)贏pache服務(wù)器上存放WEB服務(wù)器的文件,供用戶訪問(wèn),并設(shè)置/home/ftp/pub目錄為文件存放區(qū)域,用http://download.your.com/pub/來(lái)訪問(wèn)。在防火墻上設(shè)置apache反向代理技術(shù),由防火墻代理訪問(wèn)。
(1)Apache服務(wù)器的設(shè)置
Apache服務(wù)器采用默認(rèn)配置。主目錄為/home/httpd/html,主機(jī)域名為Phoenix.your.com, 且別名到www.your.com中, 并且設(shè)置srm.conf加一行別名定義如下:
Alias /pub /home/ftp/pub/
更改默認(rèn)應(yīng)用程序類型定義如下:
DefaultType application/octet-stream
最后在/etc/httpd/conf/access.conf中增加一項(xiàng)定義
Options Indexes
AllowOverride AuthConfig
order allow,deny
allow from all
注:Options Indexes允許在找不到index.html文件的情況下允許列出目錄/文件列表。AllowOverride AuthConfig允許做基本的用戶名和口令驗(yàn)證。這樣的話,需要在/home/ftp/pub目錄下放入.htaccess,內(nèi)容如下:
[root@ pub]# more .htaccess
AuthName Branch Office Public Software Download Area
AuthType Basic
AuthUserFile /etc/.usrpasswd
require valid-user
用# htpasswd -c /etc/.usrpasswd user1 分別創(chuàng)建不同的允許訪問(wèn)/pub下文件服務(wù)的外部用戶名和口令。
(2)在防火墻上配置反向代理技術(shù).
在/etc/httpd/conf/httpd.conf 中加入 NameVirtualHost xxx.xxx.xxx.xxx # xxx.xxx.xxx.xxx ----->是防火墻外部在互聯(lián)網(wǎng)上永久IP地址:
servername www.your.com
errorlog /var/log/httpd/error_log
transferlog /var/log/httpd/access_log
rewriteengine on
proxyrequests off
usecanonicalname off
rewriterule ^/(.*)$ http://xxx.xxx.xx.x/$1 Apache服務(wù)器的IP地址。
servername http://download.your.com/pub/
errorlog /var/log/httpd/download/error_log
transferlog /var/log/httpd/download/access_log
rewriteengine on
proxyrequests off
usecanonicalname off
rewriterule ^/(.*)$ http://xxx.xxx.xx.x/$1 同上Apache服務(wù)器的IP地址。
設(shè)置防火墻上的DNS,讓download.your.com和www.your.com 都指向防火墻的外部網(wǎng)地址xxx.xxx.xxx.xxx。
用http://www.your.com訪問(wèn)主頁(yè),用http://download.your.com/pub/訪問(wèn)公共文件的下載區(qū)。
注:還需要在apache服務(wù)器主機(jī)上建立目錄/var/log/httpd/download/,否則會(huì)出錯(cuò)。另外,也可以設(shè)置防火墻主機(jī)上的/home/httpd/html/index.html的屬性為750來(lái)阻止訪問(wèn),這是防外部用戶能訪問(wèn)到防火墻上的Apache服務(wù)器的http://www.your.com中。
總結(jié):Apache Server是一個(gè)非常優(yōu)秀,非常棒的服務(wù)器,只要你正確配置和維護(hù)好Apache服務(wù)器,你就會(huì)感受到Apache Server 所帶來(lái)的好處,同樣希望你能夠通過(guò)閱讀本文達(dá)到理論和實(shí)踐雙豐收的目的。
驗(yàn)證你的Apache來(lái)源途徑
不要以為在Google上能夠搜索到合適的Apache版本。如果你需要下載最新版本的Apache,那么你最好通過(guò)一個(gè)權(quán)威的鏡像站點(diǎn)來(lái)下載。然而,即使這樣也可能有問(wèn)題,事實(shí)上,曾經(jīng)就有黑客入侵過(guò)apache.org官方網(wǎng)站。所以,采用類似PGP的工具來(lái)驗(yàn)證Apache的數(shù)字簽名就顯得尤為重要。
保持更新Apache的補(bǔ)丁程序
如果你安裝了Apache,你就必須及時(shí)更新安全補(bǔ)丁。如果沒(méi)有及時(shí)的更新,那你的系統(tǒng)很容易受到網(wǎng)絡(luò)上那些高危病毒的攻擊。幸好,有幾個(gè)簡(jiǎn)便方法可以更新Apache的補(bǔ)丁。參考我們關(guān)于保持更新Apache補(bǔ)丁的文章了解更多關(guān)于Apache服務(wù)器公告列表、Linux包管理系統(tǒng)和RedHat操作系統(tǒng)更新服務(wù)的信息。
避免使用.htaccess文件(分布式配置文件)
很多情況下需要幾個(gè)管理員和內(nèi)容管理者共同管理Apache服務(wù)器。一個(gè)常用的共享管理辦法就是使用.htaccess文件,這樣可以很靈活地對(duì)管理員以外的用戶提供不同的配置控制權(quán)限。然而,這些文件也使得在集中安全管理之外還有相當(dāng)多的安全控制權(quán)限——這些文件允許安全專業(yè)人士以外的其他用戶改變服務(wù)器的訪問(wèn)控制許可配置。那些對(duì)粒度訪問(wèn)控制根本不熟悉的用戶修改的配置可能在無(wú)意中會(huì)危害到你的系統(tǒng)安全。所以,除非必須使用,否則我們應(yīng)該盡可能地避免使用這種訪問(wèn)控制系統(tǒng)。
監(jiān)視系統(tǒng)日志
Apache為管理員提供了很全面的日志管理工具來(lái)對(duì)服務(wù)器的活動(dòng)進(jìn)行事后分析。Apache提供了多種不同的記錄日志,但是對(duì)安全專業(yè)人士最重要的是訪問(wèn)日志。這個(gè)靈活的工具還具有了相當(dāng)多的自定義功能,你可以按照你的需要很方便地記錄盡可能多或者少的日志,以保證有效的分析。至少,你應(yīng)該記錄那些失敗的認(rèn)證企圖和系統(tǒng)產(chǎn)生的錯(cuò)誤。使用像AWStats一樣的免費(fèi)工具可以很輕松地完成分析任務(wù)。但是必須明確的一點(diǎn)是:監(jiān)視日志只是一種事后分析手段。你可以利用它回顧和判斷對(duì)服務(wù)器的攻擊(和攻擊企圖),但是希望及時(shí)查看日志來(lái)對(duì)緊急情況做出快速反應(yīng)是不可能的。如果需要進(jìn)行預(yù)判反應(yīng),你應(yīng)該考慮使用入侵預(yù)防系統(tǒng)如信息安全雜志評(píng)選的2003年度最新興技術(shù)獎(jiǎng)得主:Lucid Security公司的ipAngel系統(tǒng)。
管理文件系統(tǒng)
我們已經(jīng)討論了使用(或不使用).htaccess文件對(duì)管理文件訪問(wèn)權(quán)限的重要性。禁止通過(guò)文件系統(tǒng)許可對(duì)Apache服務(wù)器進(jìn)行非授權(quán)修改也是很重要的。特別值得一提的是,你應(yīng)該保證只有根用戶才能修改存儲(chǔ)在“/usr/local/apache ”目錄的文件(或者你選擇的任何Apache服務(wù)器的根目錄)。確保只有根用戶才能修改日志文件也很關(guān)鍵,這樣可以防止用戶掩蓋他們的操作。
Apache 服務(wù)器日常配置
1、如何設(shè) 置請(qǐng)求等待時(shí)間
在httpd.conf里面設(shè)置:
TimeOut n
其中n為整數(shù),單位是秒。
設(shè)置這個(gè)TimeOut適用于三種情況:
2、如何接收一個(gè)get請(qǐng)求的總時(shí)間
接收一個(gè)post和put請(qǐng)求的TCP包之間的時(shí)間
TCP包傳輸中的響應(yīng)(ack)時(shí)間間隔
3、如何使得apache監(jiān)聽在特定的端口
修改httpd.conf里面關(guān)于Listen的選項(xiàng),例如:
Listen 8000
是使apache監(jiān)聽在8000端口
而如果要同時(shí)指定監(jiān)聽端口和監(jiān)聽地址,可以使用:
Listen 192.170.2.1:80
Listen 192.170.2.5:8000
這樣就使得apache同時(shí)監(jiān)聽在192.170.2.1的80端口和192.170.2.5的8000端口。
當(dāng)然也可以在httpd.conf里面設(shè)置:
Port 80
這樣來(lái)實(shí)現(xiàn)類似的效果。
4、如何設(shè)置apache的最大空閑進(jìn)程數(shù)
修改httpd.conf,在里面設(shè)置:
MaxSpareServers n
其中n是一個(gè)整數(shù)。這樣當(dāng)空閑進(jìn)程超過(guò)n的時(shí)候,apache主進(jìn)程會(huì)殺掉多余的空閑進(jìn)程而保持空閑進(jìn)程在n,節(jié)省了系統(tǒng)資源。如果在一個(gè)apache非常繁忙的站點(diǎn)調(diào)節(jié)這個(gè)參數(shù)才是必要的,但是在任何時(shí)候把這個(gè)參數(shù)調(diào)到很大都不是一個(gè)好主意。
同時(shí)也可以設(shè)置:
MinSpareServers n
來(lái)限制最少空閑進(jìn)程數(shù)目來(lái)加快反應(yīng)速度。
5、apache如何設(shè)置啟動(dòng)時(shí)的子服務(wù)進(jìn)程個(gè)數(shù)
在httpd.conf里面設(shè)置:
StartServers 5
這樣啟動(dòng)apache后就有5個(gè)空閑子進(jìn)程等待接受請(qǐng)求。
也可以參考MinSpareServers和MaxSpareServers設(shè)置。
6、如何在apache中設(shè)置每個(gè)連接的最大請(qǐng)求數(shù)
在httpd.conf里面設(shè)置:
MaxKeepAliveRequests 100
這樣就能保證在一個(gè)連接中,如果同時(shí)請(qǐng)求數(shù)達(dá)到100就不再響應(yīng)這個(gè)連接的新請(qǐng)求,保證了系統(tǒng)資源不會(huì)被某個(gè)連接大量占用。但是在實(shí)際配置中要求盡量把這個(gè)數(shù)值調(diào)高來(lái)獲得較高的系統(tǒng)性能。
7、如何在apache中設(shè)置session的持續(xù)時(shí)間
在apache1.2以上的版本中,可以在httpd.conf里面設(shè)置:
KeepAlive on
KeepAliveTimeout 15
這樣就能限制每個(gè)session的保持時(shí)間是15秒。session的使用可以使得很多請(qǐng)求都可以通過(guò)同一個(gè)tcp連接來(lái)發(fā)送,節(jié)約了網(wǎng)絡(luò)資源和系統(tǒng)資源。
8、如何使得apache對(duì)客戶端進(jìn)行域名驗(yàn)證
可以在httpd.conf里面設(shè)置:
HostnameLookups on off double
如果是使用on,那么只有進(jìn)行一次反查,如果用double,那么進(jìn)行反查之后還要進(jìn)行一次正向解析,只有兩次的結(jié)果互相符合才行,而off就是不進(jìn)行域名驗(yàn)證。
如果為了安全,建議使用double;為了加快訪問(wèn)速度,建議使用off。
9、如何使得apache只監(jiān)聽在特定的ip
修改httpd.conf,在里面使用
BindAddress 192.168.0.1
這樣就能使得apache只監(jiān)聽外界對(duì)192.168.0.1的http請(qǐng)求。如果使用:
BindAddress *
就表明apache監(jiān)聽所有網(wǎng)絡(luò)接口上的http請(qǐng)求。
當(dāng)然用防火墻也可以實(shí)現(xiàn)。
10、apache中如何限制http請(qǐng)求的消息主體的大小
在httpd.conf里面設(shè)置:
LimitRequestBody n
n是整數(shù),單位是byte。cgi腳本一般把表單里面內(nèi)容作為消息的主體提交給服務(wù)器處理,所以現(xiàn)在消息主體的大小在使用cgi的時(shí)候很有用。比如使用cgi來(lái)上傳文件,如果有設(shè)置:
LimitRequestBody 102400
那么上傳文件超過(guò)100k的時(shí)候就會(huì)報(bào)錯(cuò)。
11、如何修改apache的文檔根目錄
修改httpd.conf里面的DocumentRoot選項(xiàng)到指定的目錄,比如:
DocumentRoot /www/htdocs
這樣http://localhost/index.html就是對(duì)應(yīng)/www/htdocs/index.html
12、如何修改apache的最大連接數(shù)
在httpd.conf中設(shè)置:
MaxClients n
n是整數(shù),表示最大連接數(shù),取值范圍在1和256之間,如果要讓apache支持更多的連接數(shù),那么需要修改源碼中的httpd.h文件,把定義的HARD_SERVER_LIMIT值改大然后再編譯。
13、如何使每個(gè)用戶有獨(dú)立的cgi-bin目錄
有兩種可選擇的方法:
(1)在Apache配置文件里面關(guān)于public_html的設(shè)置后面加入下面的屬性:
ScriptAliasMatch ^/~([^/]*)/cgi-bin/(.*) /home/$1/cgi-bin/$2
(2)在Apache配置文件里面關(guān)于public_html的設(shè)置里面加入下面的屬性:
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2"
bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
<td bgcolor="e6e6e6" class="code" style="font-size:9pt">
<pre><ccid_code>
Options ExecCGI
SetHandler cgi-script
14、如何調(diào)整Apache的最大進(jìn)程數(shù)
Apache允許為請(qǐng)求開的最大進(jìn)程數(shù)是256,MaxClients的限制是256.如果用戶多了,用戶就只能看到Waiting for reply....然后等到下一個(gè)可用進(jìn)程的出現(xiàn)。這個(gè)最大數(shù),是Apache的程序決定的--它的NT版可以有1024,但Unix版只有256,你可以在src/include/httpd.h中看到:
#ifndef HARD_SERVER_LIMIT
#ifdef WIN32
#define HARD_SERVER_LIMIT 1024
#else
#define HARD_SERVER_LIMIT 256
#endif
#endif
你可以把它調(diào)到1024,然后再編譯你的系統(tǒng)。
15、如何屏蔽來(lái)自某個(gè)Internet地址的用戶訪問(wèn)Apache服務(wù)器
可以使用deny和allow來(lái)限制訪問(wèn),比如要禁止202.202.202.xx網(wǎng)絡(luò)的用戶訪問(wèn):
order deny,allow
deny from 202.202.202.0/24
16、如何在日志里面記錄apache瀏覽器和引用信息
你需要把mod_log_config編譯到你的Apache服務(wù)器中,然后使用下面類似的配置:
CustomLog logs/access_log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i""
17、如何修改Apache返回的頭部信息
問(wèn)題分析:當(dāng)客戶端連接到Apache服務(wù)器的時(shí)候,Apache一般會(huì)返回服務(wù)器版本、非缺省模塊等信息,例如:
Server: Apache/1.3.26 (Unix) mod_perl/1.26
解決:
你可以在Apache的配置文件里面作如下設(shè)置讓它返回的關(guān)于服務(wù)器的信息減少到最少:
ServerTokens Prod
注意:
這樣設(shè)置以后Apache還會(huì)返回一定的服務(wù)器信息,比如:
Server: Apache
但是這個(gè)不會(huì)對(duì)服務(wù)器安全產(chǎn)生太多的影響,因?yàn)楹芏鄴呙柢浖菕呙璧臅r(shí)候是不顧你服務(wù)器返回的頭部信息的。你如果想把服務(wù)器返回的相關(guān)信息變成:
Server: It iS a nOnE-aPaCHe Server
那么你就要去修改源碼了。
不用改文件名 防止IIS文件被下載方法
[ 2007-03-25 02:49:16 | 作者: sun ]
如何才能防止encry目錄下的所有文件被非法下載呢?我們可以應(yīng)用IIS中的應(yīng)用程序映射結(jié)合ASP.NET中的IHttpHandler自定義權(quán)限,把IIS應(yīng)用程序映射用于所有文件,并將控制權(quán)交給我們自己實(shí)現(xiàn)的IHttpHandler
首先添加應(yīng)用程序映射:打開IIS管理器->右擊我們要控制下載的站點(diǎn)->在屬性對(duì)話框中“配置...”,將文件改為你自己.netFramework ASPnet_isapi.dll的路徑。
然后修改web.config,在system.web下添加httpHandlers項(xiàng),
<system.web>
...
<httpHandlers>
<add verb="*" path="encry/*.*" type="CustomHttpHandler.Class1,CustomHttpHandler"></add>
</httpHandlers>
...
</system.web>
下面來(lái)實(shí)現(xiàn)IHttpHandler
//------------------------file:Class1.cs---------
using System;
using System.Web;
namespace CustomHttpHandler
{
/// <summary>
/// Class1 的摘要說(shuō)明。
/// </summary>
public class Class1 : System.Web.IHttpHandler
{
public Class1()
{
//
// TODO: 在此處添加構(gòu)造函數(shù)邏輯
//
}
#region IHttpHandler 成員
public void ProcessRequest(HttpContext context)
{
// TODO: 添加 Class1.ProcessRequest 實(shí)現(xiàn)
// string strRefUrl=context.Request.ServerVariables["HTTP_REFERER"];
/*插入您自己的代碼,讀文件內(nèi)容并填充Response,該例僅簡(jiǎn)單返回一條錯(cuò)誤信息*/
context.Response.Write("您無(wú)法訪問(wèn)該頁(yè)");
}
public bool IsReusable
{
get
{
// TODO: 添加 Class1.IsReusable getter 實(shí)現(xiàn)
return false;
}
}
#endregion
}
}
首先添加應(yīng)用程序映射:打開IIS管理器->右擊我們要控制下載的站點(diǎn)->在屬性對(duì)話框中“配置...”,將文件改為你自己.netFramework ASPnet_isapi.dll的路徑。
然后修改web.config,在system.web下添加httpHandlers項(xiàng),
<system.web>
...
<httpHandlers>
<add verb="*" path="encry/*.*" type="CustomHttpHandler.Class1,CustomHttpHandler"></add>
</httpHandlers>
...
</system.web>
下面來(lái)實(shí)現(xiàn)IHttpHandler
//------------------------file:Class1.cs---------
using System;
using System.Web;
namespace CustomHttpHandler
{
/// <summary>
/// Class1 的摘要說(shuō)明。
/// </summary>
public class Class1 : System.Web.IHttpHandler
{
public Class1()
{
//
// TODO: 在此處添加構(gòu)造函數(shù)邏輯
//
}
#region IHttpHandler 成員
public void ProcessRequest(HttpContext context)
{
// TODO: 添加 Class1.ProcessRequest 實(shí)現(xiàn)
// string strRefUrl=context.Request.ServerVariables["HTTP_REFERER"];
/*插入您自己的代碼,讀文件內(nèi)容并填充Response,該例僅簡(jiǎn)單返回一條錯(cuò)誤信息*/
context.Response.Write("您無(wú)法訪問(wèn)該頁(yè)");
}
public bool IsReusable
{
get
{
// TODO: 添加 Class1.IsReusable getter 實(shí)現(xiàn)
return false;
}
}
#endregion
}
}
識(shí)別文本文件型郵件附件欺騙方法
[ 2007-03-25 02:49:04 | 作者: sun ]
在眾多媒體的宣傳報(bào)道下,今天的我們都知道了不能輕易打開電子郵件里的可執(zhí)行文件類的附件,但是顯然那些破壞活動(dòng)的制造者們也看了那些警告防范的文章,他們開始玩一些新的把戲,讓您以為那些附件只不過(guò)是沒(méi)有危險(xiǎn)的文本文件或是圖像文件等就是其手段之一。由于目前大多數(shù)人使用的是windows系列操作系統(tǒng),windows的默認(rèn)設(shè)置是隱藏已知文件擴(kuò)展名的,而當(dāng)你去點(diǎn)擊那個(gè)看上去很友善的文件,那些破壞性的東西就跳出來(lái)了。您可能說(shuō)這我早就知道了,那么下面講述的.txt文件的新欺騙方法及原理您知道嗎?
假如您收到的郵件附件中有一個(gè)看起來(lái)是這樣的文件:QQ靚號(hào)放送.txt,您是不是認(rèn)為它肯定是純文本文件?我要告訴您,不一定!它的實(shí)際文件名可以是QQ靚號(hào)放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來(lái),您看到的就是個(gè).txt文件,這個(gè)文件實(shí)際上等同于QQ靚號(hào)放送.txt.html。那么直接打開這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下:
您可能以為它會(huì)調(diào)用記事本來(lái)運(yùn)行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來(lái)運(yùn)行,并且自動(dòng)在后臺(tái)開始格式化d盤,同時(shí)顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個(gè)對(duì)話框來(lái)欺騙您。您看隨意打開附件中的.txt的危險(xiǎn)夠大了吧?
欺騙實(shí)現(xiàn)原理:當(dāng)您雙擊這個(gè)偽裝起來(lái)的.txt時(shí)候,由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會(huì)以html文件的形式運(yùn)行,這是它能運(yùn)行起來(lái)的先決條件。
文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動(dòng)的執(zhí)行者,在其中可以加載帶有破壞性質(zhì)的命令。那么第2行又是干什么的呢?您可能已經(jīng)注意到了第2行里的“WSCript”,對(duì)!就是它導(dǎo)演了全幕,它是實(shí)際行動(dòng)總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進(jìn)的功能, 是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語(yǔ)言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在Windows Scripting Host腳本環(huán)境里,預(yù)定義了一些對(duì)象,通過(guò)它自帶的幾個(gè)內(nèi)置對(duì)象,可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。
假如您收到的郵件附件中有一個(gè)看起來(lái)是這樣的文件:QQ靚號(hào)放送.txt,您是不是認(rèn)為它肯定是純文本文件?我要告訴您,不一定!它的實(shí)際文件名可以是QQ靚號(hào)放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來(lái),您看到的就是個(gè).txt文件,這個(gè)文件實(shí)際上等同于QQ靚號(hào)放送.txt.html。那么直接打開這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下:
您可能以為它會(huì)調(diào)用記事本來(lái)運(yùn)行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來(lái)運(yùn)行,并且自動(dòng)在后臺(tái)開始格式化d盤,同時(shí)顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個(gè)對(duì)話框來(lái)欺騙您。您看隨意打開附件中的.txt的危險(xiǎn)夠大了吧?
欺騙實(shí)現(xiàn)原理:當(dāng)您雙擊這個(gè)偽裝起來(lái)的.txt時(shí)候,由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會(huì)以html文件的形式運(yùn)行,這是它能運(yùn)行起來(lái)的先決條件。
文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動(dòng)的執(zhí)行者,在其中可以加載帶有破壞性質(zhì)的命令。那么第2行又是干什么的呢?您可能已經(jīng)注意到了第2行里的“WSCript”,對(duì)!就是它導(dǎo)演了全幕,它是實(shí)際行動(dòng)總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進(jìn)的功能, 是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語(yǔ)言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在Windows Scripting Host腳本環(huán)境里,預(yù)定義了一些對(duì)象,通過(guò)它自帶的幾個(gè)內(nèi)置對(duì)象,可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。
危險(xiǎn)無(wú)處不在 賬號(hào)防盜防騙的小經(jīng)驗(yàn)
[ 2007-03-25 02:48:53 | 作者: sun ]
最近盜號(hào)很猖獗,大家一定要小心看管自己的賬號(hào)!這里有一些小技巧希望大家能注意下。
1、公共場(chǎng)所上網(wǎng)、下機(jī)前,務(wù)必重起電腦
相信現(xiàn)在網(wǎng)吧電腦都100%安裝了還原系統(tǒng),重起電腦基本可以杜絕菜鳥級(jí)別的盜號(hào)手段。
2、上網(wǎng)過(guò)程中,堅(jiān)決不打開別人發(fā)你的不明鏈接
記得有一次,正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網(wǎng)址看照片。我正猶豫的時(shí)候,他緊接著發(fā)過(guò)來(lái)一句“千萬(wàn)別開那網(wǎng)頁(yè),有病毒!我電腦已經(jīng)感染了……”
上網(wǎng),不要瀏覽亂七八糟的網(wǎng)站,尤其是現(xiàn)在的一些賣虛擬財(cái)產(chǎn)的網(wǎng)站,廣告價(jià)格特別便宜,其實(shí)就是引人上當(dāng)。如果你上網(wǎng)感覺(jué)不明原因的電腦運(yùn)行慢了,立刻重起電腦。
3、不要隨便陷入“網(wǎng)戀”
“網(wǎng)戀”騙號(hào),損失的不只是物質(zhì)財(cái)富,還有感情。網(wǎng)絡(luò),只是一個(gè)虛擬的世界,不要過(guò)于想入非非。賬號(hào)盡量不要告訴別人,特別是異性,除非你絕對(duì)相信他!
4、賬號(hào)、密碼錯(cuò)位輸入
比如你的賬號(hào)是“ABcdEFG”,你輸入的時(shí)候先輸入“cd”,再用鼠標(biāo)把光標(biāo)移動(dòng)盜最前面輸入“AB”,再用鼠標(biāo)把光標(biāo)移動(dòng)到最后輸入“EFG”。這種方法可以讓大多數(shù)木馬失效。
1、公共場(chǎng)所上網(wǎng)、下機(jī)前,務(wù)必重起電腦
相信現(xiàn)在網(wǎng)吧電腦都100%安裝了還原系統(tǒng),重起電腦基本可以杜絕菜鳥級(jí)別的盜號(hào)手段。
2、上網(wǎng)過(guò)程中,堅(jiān)決不打開別人發(fā)你的不明鏈接
記得有一次,正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網(wǎng)址看照片。我正猶豫的時(shí)候,他緊接著發(fā)過(guò)來(lái)一句“千萬(wàn)別開那網(wǎng)頁(yè),有病毒!我電腦已經(jīng)感染了……”
上網(wǎng),不要瀏覽亂七八糟的網(wǎng)站,尤其是現(xiàn)在的一些賣虛擬財(cái)產(chǎn)的網(wǎng)站,廣告價(jià)格特別便宜,其實(shí)就是引人上當(dāng)。如果你上網(wǎng)感覺(jué)不明原因的電腦運(yùn)行慢了,立刻重起電腦。
3、不要隨便陷入“網(wǎng)戀”
“網(wǎng)戀”騙號(hào),損失的不只是物質(zhì)財(cái)富,還有感情。網(wǎng)絡(luò),只是一個(gè)虛擬的世界,不要過(guò)于想入非非。賬號(hào)盡量不要告訴別人,特別是異性,除非你絕對(duì)相信他!
4、賬號(hào)、密碼錯(cuò)位輸入
比如你的賬號(hào)是“ABcdEFG”,你輸入的時(shí)候先輸入“cd”,再用鼠標(biāo)把光標(biāo)移動(dòng)盜最前面輸入“AB”,再用鼠標(biāo)把光標(biāo)移動(dòng)到最后輸入“EFG”。這種方法可以讓大多數(shù)木馬失效。
保障安全 殺毒軟件讓你的電腦更堅(jiān)強(qiáng)
[ 2007-03-25 02:48:40 | 作者: sun ]
在享受互聯(lián)網(wǎng)為工作和生活帶來(lái)便利的同時(shí),人們也不可避免地面臨著各種病毒的滋擾。
病毒和殺毒軟件就像矛和盾,面對(duì)種類不斷變化和殺傷力不斷增強(qiáng)的病毒,電腦系統(tǒng)、商業(yè)機(jī)密、個(gè)人隱私面臨著巨大的威脅,采取適合自己的防殺病毒的工具也就成為人們有效防護(hù)網(wǎng)絡(luò)安全的盾牌。該選擇怎樣的殺毒軟件來(lái)保護(hù)你的電腦呢?現(xiàn)在的殺軟更新真是快,2006的硝煙尚未散去,國(guó)產(chǎn)三巨頭的2007版本便粉墨登場(chǎng)了。看看在對(duì)幾款主流殺毒軟件做出的比較后,你是不是會(huì)更好地選擇了呢?
國(guó)內(nèi)殺毒軟件
金山毒霸 2007
該軟件最強(qiáng)悍的功能就是加入了殺殼的功能。加殼的病毒木馬一直是國(guó)內(nèi)的殺毒軟件檢測(cè)不出來(lái)的,金山毒霸2007這一特點(diǎn)無(wú)疑為其增添不少魅力。
金山毒霸2007是一款功能強(qiáng)大、方便易用的個(gè)人及家庭首選反病毒產(chǎn)品,包括金山毒霸、金山網(wǎng)鏢、金山反間諜和金山漏洞修復(fù)。金山毒霸脫殼引擎模塊的發(fā)布,大幅度改善了金山毒霸對(duì)已知計(jì)算機(jī)病毒被人為加殼后的查殺能力,以及由于殼的原因帶來(lái)的對(duì)已知計(jì)算機(jī)病毒查殺能力的問(wèn)題。
江民殺毒軟件KV2007
可有效清除20多萬(wàn)種已知計(jì)算機(jī)病毒、蠕蟲、木馬、黑客程序、網(wǎng)頁(yè)病毒、郵件病毒、腳本病毒等,全方位主動(dòng)防御未知病毒,新增流氓軟件清理功能。
新推出第三代BOOTSCAN系統(tǒng)啟動(dòng)前殺毒功能支持全中文菜單式操作,使用更方便,殺毒更徹底。
新增可升級(jí)光盤啟動(dòng)殺毒功能,可在系統(tǒng)癱瘓狀態(tài)下從光盤啟動(dòng)電腦并升級(jí)病毒庫(kù)進(jìn)行殺毒。該軟件還具有反黑客、反木馬、漏洞掃描、垃圾郵件識(shí)別、硬盤數(shù)據(jù)恢復(fù)、網(wǎng)銀網(wǎng)游密碼保護(hù)、IE助手、系統(tǒng)診斷、文件粉碎、可疑文件強(qiáng)力刪除、反網(wǎng)絡(luò)釣魚等十二大功能。
瑞星殺毒軟件2007
基于第八代虛擬機(jī)脫殼引擎(VUE)研制開發(fā)的新一代信息安全產(chǎn)品,能準(zhǔn)確查殺各種加殼變種病毒、未知病毒、黑客、木馬、惡意網(wǎng)頁(yè)、間諜軟件、流氓軟件等有害程序,在病毒處理速度、病毒清除能力、病毒誤報(bào)率、資源占用率等主要技術(shù)指標(biāo)上實(shí)現(xiàn)了新的突破。
用戶可以免費(fèi)下載安裝包,具有免費(fèi)查毒和實(shí)時(shí)監(jiān)控功能,無(wú)需用戶每次都連接到互聯(lián)網(wǎng)就能免費(fèi)查毒。
瑞星“虛擬機(jī)脫殼”引擎(VUE),是在計(jì)算機(jī)中構(gòu)建一個(gè)仿真的運(yùn)行環(huán)境,讓加殼病毒在運(yùn)行中自行脫殼、還原到原始形態(tài),這樣就能方便、徹底地將病毒清除掉,它還可以將殺毒軟件的病毒庫(kù)減小1/3,并極大降低對(duì)系統(tǒng)資源的占用,使電腦運(yùn)行得更流暢。
國(guó)外殺毒軟件
卡巴斯基
Kaspersky(卡巴斯基)殺毒軟件來(lái)源于俄羅斯,是世界上最優(yōu)秀、最頂級(jí)的網(wǎng)絡(luò)殺毒軟件,查殺病毒性能遠(yuǎn)高于同類產(chǎn)品。
卡巴斯基殺毒軟件具有超強(qiáng)的中心管理和殺毒能力,能真正實(shí)現(xiàn)帶毒殺毒,提供了廣泛的抗病毒解決方案。
該軟件提供了所有類型的抗病毒防護(hù):抗病毒掃描儀,監(jiān)控器,行為阻斷和完全檢驗(yàn),支持幾乎所有的普通操作系統(tǒng)、e-mail通路和防火墻。
諾頓
諾頓殺毒軟件是賽門鐵克公司的產(chǎn)品,在國(guó)際上具有很高的知名度。諾頓殺毒軟件可幫你偵測(cè)上萬(wàn)種已知和未知的病毒。
當(dāng)你從磁盤、網(wǎng)絡(luò)上、e-mail夾檔中開啟文件時(shí)便會(huì)自動(dòng)偵測(cè)文件的安全性,若文件內(nèi)含病毒,便會(huì)立即警告,并作適當(dāng)?shù)奶幚怼?
諾頓具有防御非病毒性威脅,同病毒一樣,間諜程序、擊鍵記錄程序等非病毒性威脅也會(huì)危害電腦的安全。諾頓防病毒可以通過(guò)掃描檢測(cè)到這些威脅,并且針對(duì)這些非病毒性威脅提供持續(xù)的防護(hù)更新。
McAfee
全球最暢銷的殺毒軟件之一,除了操作界面更新外,也增加了許多新功能。除了幫你偵測(cè)和清除病毒,它還有VShield自動(dòng)監(jiān)視系統(tǒng),會(huì)常駐在System Tray,當(dāng)你從磁盤、網(wǎng)絡(luò)上、e-mail文件夾中開啟文件時(shí)便會(huì)自動(dòng)偵測(cè)文件的安全性,若文件內(nèi)含病毒,便會(huì)立即警告,并作適當(dāng)?shù)奶幚怼?
該軟件還支持鼠標(biāo)右鍵的快速選單功能,并可用密碼將個(gè)人的設(shè)定鎖住,讓別人無(wú)法亂改你的設(shè)定。
系統(tǒng)維護(hù)軟件
對(duì)于初級(jí)用戶來(lái)說(shuō),學(xué)會(huì)了電腦的基本操作,最頭痛的就是安全問(wèn)題。時(shí)不時(shí)的死機(jī)和病毒的侵害、數(shù)據(jù)的丟失以及網(wǎng)絡(luò)安全問(wèn)題都是我們時(shí)刻面臨的威脅,因此,有必要使用系統(tǒng)維護(hù)軟件維護(hù)系統(tǒng)的正常運(yùn)行。
維護(hù)操作系統(tǒng)
一鍵還原精靈
一鍵還原精靈是一種備份C盤的軟件,而且可以免費(fèi)使用。
與ghost手工備份不同的是,一鍵還原精靈在安裝時(shí)先在硬盤最末部分分割出一個(gè)分區(qū),用來(lái)存放備份。為了防止被誤刪,該分區(qū)是隱藏的,在Windows資源管理器里看不到,而且備份文件位于隱藏分區(qū),不受病毒感染。
一旦系統(tǒng)崩潰,使用者按指導(dǎo)操作即可將已備份系統(tǒng)盤符下的所有文件還原。
維護(hù)硬盤
Windows優(yōu)化大師
Windows優(yōu)化大師小巧的系統(tǒng)信息查看、清理、維護(hù)等功能強(qiáng)大,能夠全面掃描出計(jì)算機(jī)中的硬件信息和系統(tǒng)中的垃圾、錯(cuò)誤。注冊(cè)用戶還可以得到硬件優(yōu)化方案,方便快捷地清除掃描出的垃圾和錯(cuò)誤。
超級(jí)兔子
超級(jí)兔子是完整的系統(tǒng)維護(hù)工具,可以清理大多數(shù)的文件、注冊(cè)表里面的垃圾,同時(shí)還有強(qiáng)力的軟件卸載功能,可以清理應(yīng)用軟件在電腦內(nèi)的所有記錄。
其中,超級(jí)兔子上網(wǎng)精靈具有IE修復(fù)、IE保護(hù)、惡意程序檢測(cè)及清除工能,還能防止其他人瀏覽網(wǎng)站,阻擋色情網(wǎng)站,以及端口的過(guò)濾。超級(jí)兔子系統(tǒng)檢測(cè)可以診斷一臺(tái)電腦系統(tǒng)的CPU、顯卡、硬盤速度,還有磁盤修復(fù)及鍵盤檢測(cè)功能。
對(duì)付流氓軟件
360安全衛(wèi)士
360安全衛(wèi)士是奇虎公司推出的反流氓軟件的得力工具,更新很快,基本上每周都會(huì)更新特征庫(kù)。有流氓軟件清理、系統(tǒng)進(jìn)程監(jiān)控、系統(tǒng)全面診斷等功能,還輔助有IE歷史文件、cook-ie、自動(dòng)保存的密碼清理等功能。
卸載軟件
完美卸載
完美卸載軟件可以在安裝軟件時(shí)監(jiān)視系統(tǒng)狀態(tài),詳細(xì)記錄新裝軟件在系統(tǒng)中的存儲(chǔ)情況,以及在注冊(cè)表中的新加項(xiàng)目。到目前為止,完美卸載軟件都是免費(fèi)對(duì)外的,并且提供免費(fèi)實(shí)時(shí)升級(jí)。
病毒和殺毒軟件就像矛和盾,面對(duì)種類不斷變化和殺傷力不斷增強(qiáng)的病毒,電腦系統(tǒng)、商業(yè)機(jī)密、個(gè)人隱私面臨著巨大的威脅,采取適合自己的防殺病毒的工具也就成為人們有效防護(hù)網(wǎng)絡(luò)安全的盾牌。該選擇怎樣的殺毒軟件來(lái)保護(hù)你的電腦呢?現(xiàn)在的殺軟更新真是快,2006的硝煙尚未散去,國(guó)產(chǎn)三巨頭的2007版本便粉墨登場(chǎng)了。看看在對(duì)幾款主流殺毒軟件做出的比較后,你是不是會(huì)更好地選擇了呢?
國(guó)內(nèi)殺毒軟件
金山毒霸 2007
該軟件最強(qiáng)悍的功能就是加入了殺殼的功能。加殼的病毒木馬一直是國(guó)內(nèi)的殺毒軟件檢測(cè)不出來(lái)的,金山毒霸2007這一特點(diǎn)無(wú)疑為其增添不少魅力。
金山毒霸2007是一款功能強(qiáng)大、方便易用的個(gè)人及家庭首選反病毒產(chǎn)品,包括金山毒霸、金山網(wǎng)鏢、金山反間諜和金山漏洞修復(fù)。金山毒霸脫殼引擎模塊的發(fā)布,大幅度改善了金山毒霸對(duì)已知計(jì)算機(jī)病毒被人為加殼后的查殺能力,以及由于殼的原因帶來(lái)的對(duì)已知計(jì)算機(jī)病毒查殺能力的問(wèn)題。
江民殺毒軟件KV2007
可有效清除20多萬(wàn)種已知計(jì)算機(jī)病毒、蠕蟲、木馬、黑客程序、網(wǎng)頁(yè)病毒、郵件病毒、腳本病毒等,全方位主動(dòng)防御未知病毒,新增流氓軟件清理功能。
新推出第三代BOOTSCAN系統(tǒng)啟動(dòng)前殺毒功能支持全中文菜單式操作,使用更方便,殺毒更徹底。
新增可升級(jí)光盤啟動(dòng)殺毒功能,可在系統(tǒng)癱瘓狀態(tài)下從光盤啟動(dòng)電腦并升級(jí)病毒庫(kù)進(jìn)行殺毒。該軟件還具有反黑客、反木馬、漏洞掃描、垃圾郵件識(shí)別、硬盤數(shù)據(jù)恢復(fù)、網(wǎng)銀網(wǎng)游密碼保護(hù)、IE助手、系統(tǒng)診斷、文件粉碎、可疑文件強(qiáng)力刪除、反網(wǎng)絡(luò)釣魚等十二大功能。
瑞星殺毒軟件2007
基于第八代虛擬機(jī)脫殼引擎(VUE)研制開發(fā)的新一代信息安全產(chǎn)品,能準(zhǔn)確查殺各種加殼變種病毒、未知病毒、黑客、木馬、惡意網(wǎng)頁(yè)、間諜軟件、流氓軟件等有害程序,在病毒處理速度、病毒清除能力、病毒誤報(bào)率、資源占用率等主要技術(shù)指標(biāo)上實(shí)現(xiàn)了新的突破。
用戶可以免費(fèi)下載安裝包,具有免費(fèi)查毒和實(shí)時(shí)監(jiān)控功能,無(wú)需用戶每次都連接到互聯(lián)網(wǎng)就能免費(fèi)查毒。
瑞星“虛擬機(jī)脫殼”引擎(VUE),是在計(jì)算機(jī)中構(gòu)建一個(gè)仿真的運(yùn)行環(huán)境,讓加殼病毒在運(yùn)行中自行脫殼、還原到原始形態(tài),這樣就能方便、徹底地將病毒清除掉,它還可以將殺毒軟件的病毒庫(kù)減小1/3,并極大降低對(duì)系統(tǒng)資源的占用,使電腦運(yùn)行得更流暢。
國(guó)外殺毒軟件
卡巴斯基
Kaspersky(卡巴斯基)殺毒軟件來(lái)源于俄羅斯,是世界上最優(yōu)秀、最頂級(jí)的網(wǎng)絡(luò)殺毒軟件,查殺病毒性能遠(yuǎn)高于同類產(chǎn)品。
卡巴斯基殺毒軟件具有超強(qiáng)的中心管理和殺毒能力,能真正實(shí)現(xiàn)帶毒殺毒,提供了廣泛的抗病毒解決方案。
該軟件提供了所有類型的抗病毒防護(hù):抗病毒掃描儀,監(jiān)控器,行為阻斷和完全檢驗(yàn),支持幾乎所有的普通操作系統(tǒng)、e-mail通路和防火墻。
諾頓
諾頓殺毒軟件是賽門鐵克公司的產(chǎn)品,在國(guó)際上具有很高的知名度。諾頓殺毒軟件可幫你偵測(cè)上萬(wàn)種已知和未知的病毒。
當(dāng)你從磁盤、網(wǎng)絡(luò)上、e-mail夾檔中開啟文件時(shí)便會(huì)自動(dòng)偵測(cè)文件的安全性,若文件內(nèi)含病毒,便會(huì)立即警告,并作適當(dāng)?shù)奶幚怼?
諾頓具有防御非病毒性威脅,同病毒一樣,間諜程序、擊鍵記錄程序等非病毒性威脅也會(huì)危害電腦的安全。諾頓防病毒可以通過(guò)掃描檢測(cè)到這些威脅,并且針對(duì)這些非病毒性威脅提供持續(xù)的防護(hù)更新。
McAfee
全球最暢銷的殺毒軟件之一,除了操作界面更新外,也增加了許多新功能。除了幫你偵測(cè)和清除病毒,它還有VShield自動(dòng)監(jiān)視系統(tǒng),會(huì)常駐在System Tray,當(dāng)你從磁盤、網(wǎng)絡(luò)上、e-mail文件夾中開啟文件時(shí)便會(huì)自動(dòng)偵測(cè)文件的安全性,若文件內(nèi)含病毒,便會(huì)立即警告,并作適當(dāng)?shù)奶幚怼?
該軟件還支持鼠標(biāo)右鍵的快速選單功能,并可用密碼將個(gè)人的設(shè)定鎖住,讓別人無(wú)法亂改你的設(shè)定。
系統(tǒng)維護(hù)軟件
對(duì)于初級(jí)用戶來(lái)說(shuō),學(xué)會(huì)了電腦的基本操作,最頭痛的就是安全問(wèn)題。時(shí)不時(shí)的死機(jī)和病毒的侵害、數(shù)據(jù)的丟失以及網(wǎng)絡(luò)安全問(wèn)題都是我們時(shí)刻面臨的威脅,因此,有必要使用系統(tǒng)維護(hù)軟件維護(hù)系統(tǒng)的正常運(yùn)行。
維護(hù)操作系統(tǒng)
一鍵還原精靈
一鍵還原精靈是一種備份C盤的軟件,而且可以免費(fèi)使用。
與ghost手工備份不同的是,一鍵還原精靈在安裝時(shí)先在硬盤最末部分分割出一個(gè)分區(qū),用來(lái)存放備份。為了防止被誤刪,該分區(qū)是隱藏的,在Windows資源管理器里看不到,而且備份文件位于隱藏分區(qū),不受病毒感染。
一旦系統(tǒng)崩潰,使用者按指導(dǎo)操作即可將已備份系統(tǒng)盤符下的所有文件還原。
維護(hù)硬盤
Windows優(yōu)化大師
Windows優(yōu)化大師小巧的系統(tǒng)信息查看、清理、維護(hù)等功能強(qiáng)大,能夠全面掃描出計(jì)算機(jī)中的硬件信息和系統(tǒng)中的垃圾、錯(cuò)誤。注冊(cè)用戶還可以得到硬件優(yōu)化方案,方便快捷地清除掃描出的垃圾和錯(cuò)誤。
超級(jí)兔子
超級(jí)兔子是完整的系統(tǒng)維護(hù)工具,可以清理大多數(shù)的文件、注冊(cè)表里面的垃圾,同時(shí)還有強(qiáng)力的軟件卸載功能,可以清理應(yīng)用軟件在電腦內(nèi)的所有記錄。
其中,超級(jí)兔子上網(wǎng)精靈具有IE修復(fù)、IE保護(hù)、惡意程序檢測(cè)及清除工能,還能防止其他人瀏覽網(wǎng)站,阻擋色情網(wǎng)站,以及端口的過(guò)濾。超級(jí)兔子系統(tǒng)檢測(cè)可以診斷一臺(tái)電腦系統(tǒng)的CPU、顯卡、硬盤速度,還有磁盤修復(fù)及鍵盤檢測(cè)功能。
對(duì)付流氓軟件
360安全衛(wèi)士
360安全衛(wèi)士是奇虎公司推出的反流氓軟件的得力工具,更新很快,基本上每周都會(huì)更新特征庫(kù)。有流氓軟件清理、系統(tǒng)進(jìn)程監(jiān)控、系統(tǒng)全面診斷等功能,還輔助有IE歷史文件、cook-ie、自動(dòng)保存的密碼清理等功能。
卸載軟件
完美卸載
完美卸載軟件可以在安裝軟件時(shí)監(jiān)視系統(tǒng)狀態(tài),詳細(xì)記錄新裝軟件在系統(tǒng)中的存儲(chǔ)情況,以及在注冊(cè)表中的新加項(xiàng)目。到目前為止,完美卸載軟件都是免費(fèi)對(duì)外的,并且提供免費(fèi)實(shí)時(shí)升級(jí)。
Web程序源代碼加以保護(hù)
[ 2007-03-25 02:48:28 | 作者: sun ]
這里的所謂“Web源代碼”,指的是客戶端的諸如HTML、Javascript之類的東西,當(dāng)你辛辛苦苦寫出來(lái)一個(gè)web應(yīng)用程序時(shí),可能希望自己的勞動(dòng)成果不被別人任意剽竊修改,但是這些東西如果不加處理,很容易被人拷貝。
其實(shí)說(shuō)實(shí)話,我個(gè)人認(rèn)為,作為描述性的語(yǔ)言,web源代碼沒(méi)有經(jīng)過(guò)編譯,也就是說(shuō),無(wú)論怎么加密,它在客戶端都會(huì)最終以源代碼形式出現(xiàn),要絕對(duì)的防止被察看是不可能的。但是,我們還是要討論這個(gè)問(wèn)題,因?yàn)殡m然沒(méi)有絕對(duì),但是相對(duì)比較安全就好了,正如系統(tǒng)的安全沒(méi)有絕對(duì),只有相對(duì)一樣。只要能讓絕大多數(shù)人束手無(wú)策,我們的目的也就達(dá)到了。
首先,禁止右鍵是一個(gè)比較常見的方法,這無(wú)論如何是不能徹底阻止用戶察看源代碼,但是既然無(wú)法防止用戶察看代碼,就只能把代碼加工,讓人看了也無(wú)法理解其意義。
一個(gè)比較經(jīng)典而有效的方法是利用的js的escape方法,將源代碼經(jīng)過(guò)escape編碼后,大部分文字被轉(zhuǎn)換成了型如%xx的編碼,unicode字符被轉(zhuǎn)換成%uxxxx格式,于是看起來(lái)一片混亂。使用的時(shí)候先將這段編碼作為數(shù)據(jù),利用unescape轉(zhuǎn)換回原貌,再用js寫進(jìn)需要的位置,于是便可正常使用了。
這個(gè)方法原理簡(jiǎn)單,而且可以反復(fù)調(diào)用,將源代碼經(jīng)過(guò)數(shù)層加密(將解密的程序本身也作為源代碼進(jìn)行加密),已經(jīng)足以讓大部分的人摸不著頭腦了。他的缺點(diǎn)是編碼效率不高,經(jīng)過(guò)編碼后數(shù)據(jù)量增加很多。而且這種編碼要解也很容易。
仿照這個(gè)原理,其實(shí)你可以自己寫出自己的算法來(lái)代替escape,不過(guò)因?yàn)檫@個(gè)部分源代碼也是明文,所以其實(shí)意義不大,只能唬唬那些利用現(xiàn)成工具解碼的人,稍微會(huì)編程的人都可以利用你的源代碼部分,修改一下輸出,得到你的代碼明文。
作為全球最大的軟件商,微軟公司也意識(shí)到了腳本的知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題,因此在IE5以上的版本里加入了對(duì)編碼腳本的支持,這里的“編碼”和上面所述的略有不同,這是通過(guò)微軟專門的wse(windows script encoder)進(jìn)行腳本編碼,其范圍也不僅僅局限于客戶端腳本,它也可以對(duì)wsh,甚至服務(wù)器端的ASP腳本進(jìn)行編碼,經(jīng)過(guò)編碼的腳本看起來(lái)是一堆亂七八糟毫無(wú)疑義的字符(好像unicode會(huì)不經(jīng)編碼原封不動(dòng)的保留下來(lái)),在運(yùn)行的時(shí)候在腳本引擎內(nèi)部進(jìn)行解碼,由于解碼算法是腳本引擎內(nèi)置的,所以一般人難以解出源代碼。另外,由于解碼中要進(jìn)行完整性效驗(yàn),即使unicode以原碼顯示出來(lái)了也不能被修改,修改哪怕是一個(gè)字節(jié),就會(huì)使整段代碼失效。
這個(gè)方法目前看來(lái)很安全,還沒(méi)有現(xiàn)成的工具對(duì)其進(jìn)行破解。但是要知道,這些算法是可逆的,也就是說(shuō)遲早會(huì)有人找出其算法,我甚至猜測(cè)script engine本身提供了編碼解碼的接口,可以直接調(diào)用的。解密工具遲早要出來(lái)。而且這個(gè)加密方法有個(gè)很大的缺陷,就是必須要求IE5以上才能用,要知道,IE4的用戶不在少數(shù),因此在很大程度上限制了推廣使用。
真的沒(méi)有兩全的辦法了嗎?
寫到這里,我自己產(chǎn)生了一個(gè)想法:利用隨機(jī)密匙+固定或隨機(jī)算法進(jìn)行加密,只是一時(shí)想法,還不成熟,而且也只是可以騙過(guò)一般人而已,不妨寫下來(lái)供參考:
先想一種需要密匙的算法,比如xor,在服務(wù)器端寫好加密算法,當(dāng)用戶訪問(wèn)此頁(yè)的時(shí)候生成一個(gè)隨機(jī)密匙,將解密算法以及加密后的數(shù)據(jù)發(fā)到客戶端頁(yè)面上,而在之前將此次會(huì)話生成的密匙通過(guò)某種特別途徑發(fā)給客戶端(比如服務(wù)器發(fā)來(lái)的cookie),然后在客戶端讀出cookie里的密匙進(jìn)行實(shí)時(shí)解密。由于不帶過(guò)期參數(shù)的cookie是存在內(nèi)存里的,在硬盤里找不到,因此除非用戶知道寫cookie的那個(gè)頁(yè)面并且察看其http頭(同時(shí)還要向服務(wù)器發(fā)去維持本次會(huì)話的sessionID以防止密匙改變),否則是無(wú)法解密的。由于向客戶端發(fā)送cookie的頁(yè)面可以隨機(jī)(可以在加密頁(yè)面出現(xiàn)之前的任意頁(yè)面),而且密匙甚至算法均可隨機(jī),找到密匙,算法,數(shù)據(jù)三者相對(duì)應(yīng)的過(guò)程相當(dāng)之繁瑣,可以嚇倒不少的人。
這種加密法是否可行還有待探討,只是我一時(shí)想法而已,有空的時(shí)候我會(huì)試驗(yàn)一下,看看到底能不能用。
其實(shí)說(shuō)實(shí)話,我個(gè)人認(rèn)為,作為描述性的語(yǔ)言,web源代碼沒(méi)有經(jīng)過(guò)編譯,也就是說(shuō),無(wú)論怎么加密,它在客戶端都會(huì)最終以源代碼形式出現(xiàn),要絕對(duì)的防止被察看是不可能的。但是,我們還是要討論這個(gè)問(wèn)題,因?yàn)殡m然沒(méi)有絕對(duì),但是相對(duì)比較安全就好了,正如系統(tǒng)的安全沒(méi)有絕對(duì),只有相對(duì)一樣。只要能讓絕大多數(shù)人束手無(wú)策,我們的目的也就達(dá)到了。
首先,禁止右鍵是一個(gè)比較常見的方法,這無(wú)論如何是不能徹底阻止用戶察看源代碼,但是既然無(wú)法防止用戶察看代碼,就只能把代碼加工,讓人看了也無(wú)法理解其意義。
一個(gè)比較經(jīng)典而有效的方法是利用的js的escape方法,將源代碼經(jīng)過(guò)escape編碼后,大部分文字被轉(zhuǎn)換成了型如%xx的編碼,unicode字符被轉(zhuǎn)換成%uxxxx格式,于是看起來(lái)一片混亂。使用的時(shí)候先將這段編碼作為數(shù)據(jù),利用unescape轉(zhuǎn)換回原貌,再用js寫進(jìn)需要的位置,于是便可正常使用了。
這個(gè)方法原理簡(jiǎn)單,而且可以反復(fù)調(diào)用,將源代碼經(jīng)過(guò)數(shù)層加密(將解密的程序本身也作為源代碼進(jìn)行加密),已經(jīng)足以讓大部分的人摸不著頭腦了。他的缺點(diǎn)是編碼效率不高,經(jīng)過(guò)編碼后數(shù)據(jù)量增加很多。而且這種編碼要解也很容易。
仿照這個(gè)原理,其實(shí)你可以自己寫出自己的算法來(lái)代替escape,不過(guò)因?yàn)檫@個(gè)部分源代碼也是明文,所以其實(shí)意義不大,只能唬唬那些利用現(xiàn)成工具解碼的人,稍微會(huì)編程的人都可以利用你的源代碼部分,修改一下輸出,得到你的代碼明文。
作為全球最大的軟件商,微軟公司也意識(shí)到了腳本的知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題,因此在IE5以上的版本里加入了對(duì)編碼腳本的支持,這里的“編碼”和上面所述的略有不同,這是通過(guò)微軟專門的wse(windows script encoder)進(jìn)行腳本編碼,其范圍也不僅僅局限于客戶端腳本,它也可以對(duì)wsh,甚至服務(wù)器端的ASP腳本進(jìn)行編碼,經(jīng)過(guò)編碼的腳本看起來(lái)是一堆亂七八糟毫無(wú)疑義的字符(好像unicode會(huì)不經(jīng)編碼原封不動(dòng)的保留下來(lái)),在運(yùn)行的時(shí)候在腳本引擎內(nèi)部進(jìn)行解碼,由于解碼算法是腳本引擎內(nèi)置的,所以一般人難以解出源代碼。另外,由于解碼中要進(jìn)行完整性效驗(yàn),即使unicode以原碼顯示出來(lái)了也不能被修改,修改哪怕是一個(gè)字節(jié),就會(huì)使整段代碼失效。
這個(gè)方法目前看來(lái)很安全,還沒(méi)有現(xiàn)成的工具對(duì)其進(jìn)行破解。但是要知道,這些算法是可逆的,也就是說(shuō)遲早會(huì)有人找出其算法,我甚至猜測(cè)script engine本身提供了編碼解碼的接口,可以直接調(diào)用的。解密工具遲早要出來(lái)。而且這個(gè)加密方法有個(gè)很大的缺陷,就是必須要求IE5以上才能用,要知道,IE4的用戶不在少數(shù),因此在很大程度上限制了推廣使用。
真的沒(méi)有兩全的辦法了嗎?
寫到這里,我自己產(chǎn)生了一個(gè)想法:利用隨機(jī)密匙+固定或隨機(jī)算法進(jìn)行加密,只是一時(shí)想法,還不成熟,而且也只是可以騙過(guò)一般人而已,不妨寫下來(lái)供參考:
先想一種需要密匙的算法,比如xor,在服務(wù)器端寫好加密算法,當(dāng)用戶訪問(wèn)此頁(yè)的時(shí)候生成一個(gè)隨機(jī)密匙,將解密算法以及加密后的數(shù)據(jù)發(fā)到客戶端頁(yè)面上,而在之前將此次會(huì)話生成的密匙通過(guò)某種特別途徑發(fā)給客戶端(比如服務(wù)器發(fā)來(lái)的cookie),然后在客戶端讀出cookie里的密匙進(jìn)行實(shí)時(shí)解密。由于不帶過(guò)期參數(shù)的cookie是存在內(nèi)存里的,在硬盤里找不到,因此除非用戶知道寫cookie的那個(gè)頁(yè)面并且察看其http頭(同時(shí)還要向服務(wù)器發(fā)去維持本次會(huì)話的sessionID以防止密匙改變),否則是無(wú)法解密的。由于向客戶端發(fā)送cookie的頁(yè)面可以隨機(jī)(可以在加密頁(yè)面出現(xiàn)之前的任意頁(yè)面),而且密匙甚至算法均可隨機(jī),找到密匙,算法,數(shù)據(jù)三者相對(duì)應(yīng)的過(guò)程相當(dāng)之繁瑣,可以嚇倒不少的人。
這種加密法是否可行還有待探討,只是我一時(shí)想法而已,有空的時(shí)候我會(huì)試驗(yàn)一下,看看到底能不能用。
不懼惡性病毒 安全模式下的病毒查殺
[ 2007-03-25 02:48:16 | 作者: sun ]
殺毒軟件多遭人詬病。不知道是廠商不夠努力還是用戶實(shí)在太挑剔,幾乎每一款殺毒軟件都會(huì)有人提出批評(píng)意見,不是殺不掉病毒就是太占用系統(tǒng)資源。其實(shí)我們很多的時(shí)候看到殺毒軟件眼睜睜看著病毒溜走,這其實(shí)并不完全是殺毒軟件的錯(cuò),作為使用者的我們對(duì)殺毒軟件也有很多地方使用不當(dāng)。
理論上說(shuō),殺毒軟件如果能正常識(shí)別一個(gè)病毒的名稱,一般都能殺掉,不過(guò)也有一些病毒或開機(jī)自啟動(dòng),或常駐內(nèi)存,或嵌入到系統(tǒng)進(jìn)程中,更有甚者注冊(cè)為系統(tǒng)服務(wù),遇到這些偽裝頗高明的惡性病毒,殺毒軟件也只能掂量著發(fā)力了。這個(gè)時(shí)候,進(jìn)入到安全模式下再殺毒不失為一個(gè)好的方法。
現(xiàn)在就讓我們來(lái)看一看怎樣在安全模式下用殺毒軟件大干一場(chǎng)。首先在正常模式下將殺毒軟件病毒庫(kù)升級(jí)至最新,關(guān)閉系統(tǒng)還原,具體步驟:我的電腦—“右鍵”屬性—系統(tǒng)還原—點(diǎn)“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”,最后點(diǎn)擊確定。接下來(lái)清空IE緩存,具體方法:?jiǎn)?dòng)IE瀏覽器—工具—Internet選項(xiàng)—?jiǎng)h除Internet臨時(shí)文件。準(zhǔn)備工作已經(jīng)完成,下面我們就可以進(jìn)入安全模式殺毒了。
進(jìn)入安全模式后只要正常啟動(dòng)殺毒軟件,對(duì)電腦進(jìn)行全面掃描,一般來(lái)說(shuō),這個(gè)掃描完成后的電腦就是比較干凈的了。
無(wú)論使用的是正版還是盜版殺毒軟件,最重要的是該軟件可以正常升級(jí),同時(shí)一定要開啟實(shí)時(shí)監(jiān)控,2-3天升級(jí)最為合適。千萬(wàn)不要等到殺毒軟件提醒你要升級(jí)了才開始行動(dòng),因?yàn)閾碛辛己玫陌踩庾R(shí)才能遠(yuǎn)離各種威脅,不能總是依靠殺毒軟件來(lái)自行解決問(wèn)題。說(shuō)到底,殺毒軟件只是一個(gè)工具,能讓電腦更清凈的是用戶。
理論上說(shuō),殺毒軟件如果能正常識(shí)別一個(gè)病毒的名稱,一般都能殺掉,不過(guò)也有一些病毒或開機(jī)自啟動(dòng),或常駐內(nèi)存,或嵌入到系統(tǒng)進(jìn)程中,更有甚者注冊(cè)為系統(tǒng)服務(wù),遇到這些偽裝頗高明的惡性病毒,殺毒軟件也只能掂量著發(fā)力了。這個(gè)時(shí)候,進(jìn)入到安全模式下再殺毒不失為一個(gè)好的方法。
現(xiàn)在就讓我們來(lái)看一看怎樣在安全模式下用殺毒軟件大干一場(chǎng)。首先在正常模式下將殺毒軟件病毒庫(kù)升級(jí)至最新,關(guān)閉系統(tǒng)還原,具體步驟:我的電腦—“右鍵”屬性—系統(tǒng)還原—點(diǎn)“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”,最后點(diǎn)擊確定。接下來(lái)清空IE緩存,具體方法:?jiǎn)?dòng)IE瀏覽器—工具—Internet選項(xiàng)—?jiǎng)h除Internet臨時(shí)文件。準(zhǔn)備工作已經(jīng)完成,下面我們就可以進(jìn)入安全模式殺毒了。
進(jìn)入安全模式后只要正常啟動(dòng)殺毒軟件,對(duì)電腦進(jìn)行全面掃描,一般來(lái)說(shuō),這個(gè)掃描完成后的電腦就是比較干凈的了。
無(wú)論使用的是正版還是盜版殺毒軟件,最重要的是該軟件可以正常升級(jí),同時(shí)一定要開啟實(shí)時(shí)監(jiān)控,2-3天升級(jí)最為合適。千萬(wàn)不要等到殺毒軟件提醒你要升級(jí)了才開始行動(dòng),因?yàn)閾碛辛己玫陌踩庾R(shí)才能遠(yuǎn)離各種威脅,不能總是依靠殺毒軟件來(lái)自行解決問(wèn)題。說(shuō)到底,殺毒軟件只是一個(gè)工具,能讓電腦更清凈的是用戶。
IP地址盜用常用方法及防范
[ 2007-03-25 02:48:05 | 作者: sun ]
目前IP地址盜用行為非常常見,許多“不法之徒”用盜用地址的行為來(lái)逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網(wǎng)絡(luò)正常用戶的權(quán)益,并且給網(wǎng)絡(luò)安全、網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大的負(fù)面影響,因此研究IP地址盜用的問(wèn)題,找出有效的防范措施,是當(dāng)前的一個(gè)緊迫課題。
IP地址盜用常用的方法及其防范機(jī)制
IP地址盜用是指盜用者使用未經(jīng)授權(quán)的IP地址來(lái)配置網(wǎng)上的計(jì)算機(jī)。IP地址的盜用通常有以下兩種方法:
一是單純修改IP地址的盜用方法。如果用戶在配置或修改配置時(shí),使用的不是合法獲得的IP地址,就形成了IP地址盜用。由于IP地址是一個(gè)協(xié)議邏輯地址,是一個(gè)需要用戶設(shè)置并隨時(shí)修改的值,因此無(wú)法限制用戶修改本機(jī)的IP地址。
二是同時(shí)修改IP-MAC地址的方法。針對(duì)單純修改IP地址的問(wèn)題,很多單位都采用IP-MAC捆綁技術(shù)加以解決。但I(xiàn)P-MAC捆綁技術(shù)無(wú)法防止用戶對(duì)IP-MAC的修改。MAC地址是網(wǎng)絡(luò)設(shè)備的硬件地址,對(duì)于以太網(wǎng)來(lái)說(shuō),即俗稱的網(wǎng)卡地址。每個(gè)網(wǎng)卡上的MAC地址在所有以太網(wǎng)設(shè)備中必須是惟一的,它由IEEE分配,固化在網(wǎng)卡上一般不得隨意改動(dòng)。但是,一些兼容網(wǎng)卡的MAC地址卻可以通過(guò)配置程序來(lái)修改。如果將一臺(tái)計(jì)算機(jī)的IP和MAC地址都修改為另一臺(tái)合法主機(jī)對(duì)應(yīng)的IP和MAC地址,那么IP-MAC捆綁技術(shù)就無(wú)能為力了。另外,對(duì)于一些MAC地址不能直接修改的網(wǎng)卡,用戶還可以通過(guò)軟件修改MAC地址,即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層軟件的目的。
目前發(fā)現(xiàn)IP地址盜用比較常用的方法是定期掃描網(wǎng)絡(luò)各路由器的ARP(address resolution protocol)表,獲得當(dāng)前正在使用的IP地址以及IP-MAC對(duì)照關(guān)系,與合法的IP地址表,IP-MAC表對(duì)照,如果不一致則有非法訪問(wèn)行為發(fā)生。另外,從用戶的故障報(bào)告(盜用正在使用的IP地址會(huì)出現(xiàn)MAC地址沖突的提示)也可以發(fā)現(xiàn)IP地址的盜用行為。在此基礎(chǔ)上,常用的防范機(jī)制有:IP-MAC捆綁技術(shù)、代理服務(wù)器技術(shù)、IP-MAC-USER認(rèn)證授權(quán)以及透明網(wǎng)關(guān)技術(shù)等。
這些機(jī)制都有一定的局限性,比如IP-MAC捆綁技術(shù)用戶管理十分困難;透明網(wǎng)關(guān)技術(shù)需要專門的機(jī)器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),該機(jī)器容易成為瓶頸。更重要的是,這些機(jī)制都沒(méi)有完全從根本上防止IP地址盜用行為所產(chǎn)生的危害,只是防止地址盜用者直接訪問(wèn)外部網(wǎng)絡(luò)資源。事實(shí)上,由于IP地址盜用者仍然具有IP子網(wǎng)內(nèi)完全活動(dòng)的自由,因此一方面這種行為會(huì)干擾合法用戶的使用:另一方面可能被不良企圖者用來(lái)攻擊子網(wǎng)內(nèi)的其他機(jī)器和網(wǎng)絡(luò)設(shè)備。如果子網(wǎng)內(nèi)有代理服務(wù)器,盜用者還可以通過(guò)種種手段獲得網(wǎng)外資源。
目前IP地址盜用行為非常常見,許多“不法之徒”用盜用地址的行為來(lái)逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網(wǎng)絡(luò)正常用戶的權(quán)益,并且給網(wǎng)絡(luò)安全、網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大的負(fù)面影響,因此研究IP地址盜用的問(wèn)題,找出有效的防范措施,是當(dāng)前的一個(gè)緊迫課題。 網(wǎng)卡地址。每個(gè)網(wǎng)卡上的MAC地址在所有以太網(wǎng)設(shè)備中必須是惟一的,它由IEEE分配,固化在網(wǎng)卡上一般不得隨意改動(dòng)。但是,一些兼容網(wǎng)卡的MAC地址卻可以通過(guò)配置程序來(lái)修改。如果將一臺(tái)計(jì)算機(jī)的IP和MAC地址都修改為另一臺(tái)合法主機(jī)對(duì)應(yīng)的IP和MAC地址,那么IP-MAC捆綁技術(shù)就無(wú)能為力了。另外,對(duì)于一些MAC地址不能直接修改的網(wǎng)卡,用戶還可以通過(guò)軟件修改MAC地址,即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層軟件的目的。
IP地址盜用常用的方法及其防范機(jī)制
IP地址盜用是指盜用者使用未經(jīng)授權(quán)的IP地址來(lái)配置網(wǎng)上的計(jì)算機(jī)。IP地址的盜用通常有以下兩種方法:
一是單純修改IP地址的盜用方法。如果用戶在配置或修改配置時(shí),使用的不是合法獲得的IP地址,就形成了IP地址盜用。由于IP地址是一個(gè)協(xié)議邏輯地址,是一個(gè)需要用戶設(shè)置并隨時(shí)修改的值,因此無(wú)法限制用戶修改本機(jī)的IP地址。
二是同時(shí)修改IP-MAC地址的方法。針對(duì)單純修改IP地址的問(wèn)題,很多單位都采用IP-MAC捆綁技術(shù)加以解決。但I(xiàn)P-MAC捆綁技術(shù)無(wú)法防止用戶對(duì)IP-MAC的修改。MAC地址是網(wǎng)絡(luò)設(shè)備的硬件地址,對(duì)于以太網(wǎng)來(lái)說(shuō),即俗稱的
目前發(fā)現(xiàn)IP地址盜用比較常用的方法是定期掃描網(wǎng)絡(luò)各路由器的ARP(address resolution protocol)表,獲得當(dāng)前正在使用的IP地址以及IP-MAC對(duì)照關(guān)系,與合法的IP地址表,IP-MAC表對(duì)照,如果不一致則有非法訪問(wèn)行為發(fā)生。另外,從用戶的故障報(bào)告(盜用正在使用的IP地址會(huì)出現(xiàn)MAC地址沖突的提示)也可以發(fā)現(xiàn)IP地址的盜用行為。在此基礎(chǔ)上,常用的防范機(jī)制有:IP-MAC捆綁技術(shù)、代理服務(wù)器技術(shù)、IP-MAC-USER認(rèn)證授權(quán)以及透明網(wǎng)關(guān)技術(shù)等。
這些機(jī)制都有一定的局限性,比如IP-MAC捆綁技術(shù)用戶管理十分困難;透明網(wǎng)關(guān)技術(shù)需要專門的機(jī)器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),該機(jī)器容易成為瓶頸。更重要的是,這些機(jī)制都沒(méi)有完全從根本上防止IP地址盜用行為所產(chǎn)生的危害,只是防止地址盜用者直接訪問(wèn)外部網(wǎng)絡(luò)資源。事實(shí)上,由于IP地址盜用者仍然具有IP子網(wǎng)內(nèi)完全活動(dòng)的自由,因此一方面這種行為會(huì)干擾合法用戶的使用:另一方面可能被不良企圖者用來(lái)攻擊子網(wǎng)內(nèi)的其他機(jī)器和網(wǎng)絡(luò)設(shè)備。如果子網(wǎng)內(nèi)有代理服務(wù)器,盜用者還可以通過(guò)種種手段獲得網(wǎng)外資源。
利用端口定位及時(shí)阻斷IP地址盜用
交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備,它工作在數(shù)據(jù)鏈路層上,基于MAC地址來(lái)轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)包。因此,每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。通過(guò)SNMP(Simple Network Management protocol)管理站與各個(gè)交換機(jī)的SNMP代理通信可以獲取每個(gè)交換機(jī)保存的與端口對(duì)應(yīng)的MAC地址表,從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對(duì)應(yīng)表。將實(shí)時(shí)獲得的Switch-Port-MAC對(duì)應(yīng)表與事先獲得的合法的完整表格對(duì)照,就可以快速發(fā)現(xiàn)交換機(jī)端口是否出現(xiàn)非法MAC地址,進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現(xiàn)在不同的交換機(jī)的非級(jí)聯(lián)端口上,則意味著IP-MAC成對(duì)盜用。
發(fā)現(xiàn)了地址盜用行為后,實(shí)際上也已經(jīng)將盜用行為定位到了交換機(jī)的端口。再通過(guò)查詢事先建立的完整的Switch-Port-MAC對(duì)應(yīng)表,就可以立即定位到發(fā)生盜用行為的房間。
發(fā)生了地址盜用行為后,可以立即采取相應(yīng)的方法來(lái)阻斷盜用行為所產(chǎn)生的影響,技術(shù)上可以通過(guò)SNMP管理站向交換機(jī)代理發(fā)出一個(gè)SNMP消息來(lái)關(guān)斷發(fā)生盜用行為的端口,這樣盜用IP地址的機(jī)器無(wú)法與網(wǎng)絡(luò)中其他機(jī)器發(fā)生任何聯(lián)系,當(dāng)然也無(wú)法影響其他機(jī)器的正常運(yùn)行。
端口的關(guān)斷可以通過(guò)改變其管理狀態(tài)來(lái)實(shí)現(xiàn)。在MIB(Management Information Base)中有一個(gè)代表端口管理狀態(tài)的可讀寫對(duì)象ifAdminStatus(對(duì)象標(biāo)識(shí)符號(hào)為1.3.6.1.2.1.2.2.1.7),給ifAdminStatus賦不同的值,可以改變端口的管理狀態(tài),即“1”—開啟端口,“2”—關(guān)閉端口,“3”—供測(cè)試用。
這樣,通過(guò)管理站給交換機(jī)發(fā)送賦值信息(Set Request),就可以關(guān)閉和開啟相應(yīng)的端口,比如要關(guān)閉某一交換機(jī)(192.168.1.1)的2號(hào)端口,可以向該交換機(jī)發(fā)出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
結(jié)合IP-MAC綁定技術(shù),通過(guò)交換機(jī)端口管理,可以在實(shí)際使用中迅速發(fā)現(xiàn)并阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對(duì)盜用的問(wèn)題,同時(shí)也不影響網(wǎng)絡(luò)的運(yùn)行效率。交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備,它工作在數(shù)據(jù)鏈路層上,基于MAC地址來(lái)轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)包。因此,每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。通過(guò)SNMP(Simple Network Management protocol)管理站與各個(gè)交換機(jī)的SNMP代理通信可以獲取每個(gè)交換機(jī)保存的與端口對(duì)應(yīng)的MAC地址表,從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對(duì)應(yīng)表。將實(shí)時(shí)獲得的Switch-Port-MAC對(duì)應(yīng)表與事先獲得的合法的完整表格對(duì)照,就可以快速發(fā)現(xiàn)交換機(jī)端口是否出現(xiàn)非法MAC地址,進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現(xiàn)在不同的交換機(jī)的非級(jí)聯(lián)端口上,則意味著IP-MAC成對(duì)盜用。
發(fā)現(xiàn)了地址盜用行為后,實(shí)際上也已經(jīng)將盜用行為定位到了交換機(jī)的端口。再通過(guò)查詢事先建立的完整的Switch-Port-MAC對(duì)應(yīng)表,就可以立即定位到發(fā)生盜用行為的房間。
發(fā)生了地址盜用行為后,可以立即采取相應(yīng)的方法來(lái)阻斷盜用行為所產(chǎn)生的影響,技術(shù)上可以通過(guò)SNMP管理站向交換機(jī)代理發(fā)出一個(gè)SNMP消息來(lái)關(guān)斷發(fā)生盜用行為的端口,這樣盜用IP地址的機(jī)器無(wú)法與網(wǎng)絡(luò)中其他機(jī)器發(fā)生任何聯(lián)系,當(dāng)然也無(wú)法影響其他機(jī)器的正常運(yùn)行。
端口的關(guān)斷可以通過(guò)改變其管理狀態(tài)來(lái)實(shí)現(xiàn)。在MIB(Management Information Base)中有一個(gè)代表端口管理狀態(tài)的可讀寫對(duì)象ifAdminStatus(對(duì)象標(biāo)識(shí)符號(hào)為1.3.6.1.2.1.2.2.1.7),給ifAdminStatus賦不同的值,可以改變端口的管理狀態(tài),即“1”—開啟端口,“2”—關(guān)閉端口,“3”—供測(cè)試用。
這樣,通過(guò)管理站給交換機(jī)發(fā)送賦值信息(Set Request),就可以關(guān)閉和開啟相應(yīng)的端口,比如要關(guān)閉某一交換機(jī)(192.168.1.1)的2號(hào)端口,可以向該交換機(jī)發(fā)出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
結(jié)合IP-MAC綁定技術(shù),通過(guò)交換機(jī)端口管理,可以在實(shí)際使用中迅速發(fā)現(xiàn)并阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對(duì)盜用的問(wèn)題,同時(shí)也不影響網(wǎng)絡(luò)的運(yùn)行效率。
IP地址盜用常用的方法及其防范機(jī)制
IP地址盜用是指盜用者使用未經(jīng)授權(quán)的IP地址來(lái)配置網(wǎng)上的計(jì)算機(jī)。IP地址的盜用通常有以下兩種方法:
一是單純修改IP地址的盜用方法。如果用戶在配置或修改配置時(shí),使用的不是合法獲得的IP地址,就形成了IP地址盜用。由于IP地址是一個(gè)協(xié)議邏輯地址,是一個(gè)需要用戶設(shè)置并隨時(shí)修改的值,因此無(wú)法限制用戶修改本機(jī)的IP地址。
二是同時(shí)修改IP-MAC地址的方法。針對(duì)單純修改IP地址的問(wèn)題,很多單位都采用IP-MAC捆綁技術(shù)加以解決。但I(xiàn)P-MAC捆綁技術(shù)無(wú)法防止用戶對(duì)IP-MAC的修改。MAC地址是網(wǎng)絡(luò)設(shè)備的硬件地址,對(duì)于以太網(wǎng)來(lái)說(shuō),即俗稱的網(wǎng)卡地址。每個(gè)網(wǎng)卡上的MAC地址在所有以太網(wǎng)設(shè)備中必須是惟一的,它由IEEE分配,固化在網(wǎng)卡上一般不得隨意改動(dòng)。但是,一些兼容網(wǎng)卡的MAC地址卻可以通過(guò)配置程序來(lái)修改。如果將一臺(tái)計(jì)算機(jī)的IP和MAC地址都修改為另一臺(tái)合法主機(jī)對(duì)應(yīng)的IP和MAC地址,那么IP-MAC捆綁技術(shù)就無(wú)能為力了。另外,對(duì)于一些MAC地址不能直接修改的網(wǎng)卡,用戶還可以通過(guò)軟件修改MAC地址,即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層軟件的目的。
目前發(fā)現(xiàn)IP地址盜用比較常用的方法是定期掃描網(wǎng)絡(luò)各路由器的ARP(address resolution protocol)表,獲得當(dāng)前正在使用的IP地址以及IP-MAC對(duì)照關(guān)系,與合法的IP地址表,IP-MAC表對(duì)照,如果不一致則有非法訪問(wèn)行為發(fā)生。另外,從用戶的故障報(bào)告(盜用正在使用的IP地址會(huì)出現(xiàn)MAC地址沖突的提示)也可以發(fā)現(xiàn)IP地址的盜用行為。在此基礎(chǔ)上,常用的防范機(jī)制有:IP-MAC捆綁技術(shù)、代理服務(wù)器技術(shù)、IP-MAC-USER認(rèn)證授權(quán)以及透明網(wǎng)關(guān)技術(shù)等。
這些機(jī)制都有一定的局限性,比如IP-MAC捆綁技術(shù)用戶管理十分困難;透明網(wǎng)關(guān)技術(shù)需要專門的機(jī)器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),該機(jī)器容易成為瓶頸。更重要的是,這些機(jī)制都沒(méi)有完全從根本上防止IP地址盜用行為所產(chǎn)生的危害,只是防止地址盜用者直接訪問(wèn)外部網(wǎng)絡(luò)資源。事實(shí)上,由于IP地址盜用者仍然具有IP子網(wǎng)內(nèi)完全活動(dòng)的自由,因此一方面這種行為會(huì)干擾合法用戶的使用:另一方面可能被不良企圖者用來(lái)攻擊子網(wǎng)內(nèi)的其他機(jī)器和網(wǎng)絡(luò)設(shè)備。如果子網(wǎng)內(nèi)有代理服務(wù)器,盜用者還可以通過(guò)種種手段獲得網(wǎng)外資源。
目前IP地址盜用行為非常常見,許多“不法之徒”用盜用地址的行為來(lái)逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網(wǎng)絡(luò)正常用戶的權(quán)益,并且給網(wǎng)絡(luò)安全、網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大的負(fù)面影響,因此研究IP地址盜用的問(wèn)題,找出有效的防范措施,是當(dāng)前的一個(gè)緊迫課題。 網(wǎng)卡地址。每個(gè)網(wǎng)卡上的MAC地址在所有以太網(wǎng)設(shè)備中必須是惟一的,它由IEEE分配,固化在網(wǎng)卡上一般不得隨意改動(dòng)。但是,一些兼容網(wǎng)卡的MAC地址卻可以通過(guò)配置程序來(lái)修改。如果將一臺(tái)計(jì)算機(jī)的IP和MAC地址都修改為另一臺(tái)合法主機(jī)對(duì)應(yīng)的IP和MAC地址,那么IP-MAC捆綁技術(shù)就無(wú)能為力了。另外,對(duì)于一些MAC地址不能直接修改的網(wǎng)卡,用戶還可以通過(guò)軟件修改MAC地址,即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層軟件的目的。
IP地址盜用常用的方法及其防范機(jī)制
IP地址盜用是指盜用者使用未經(jīng)授權(quán)的IP地址來(lái)配置網(wǎng)上的計(jì)算機(jī)。IP地址的盜用通常有以下兩種方法:
一是單純修改IP地址的盜用方法。如果用戶在配置或修改配置時(shí),使用的不是合法獲得的IP地址,就形成了IP地址盜用。由于IP地址是一個(gè)協(xié)議邏輯地址,是一個(gè)需要用戶設(shè)置并隨時(shí)修改的值,因此無(wú)法限制用戶修改本機(jī)的IP地址。
二是同時(shí)修改IP-MAC地址的方法。針對(duì)單純修改IP地址的問(wèn)題,很多單位都采用IP-MAC捆綁技術(shù)加以解決。但I(xiàn)P-MAC捆綁技術(shù)無(wú)法防止用戶對(duì)IP-MAC的修改。MAC地址是網(wǎng)絡(luò)設(shè)備的硬件地址,對(duì)于以太網(wǎng)來(lái)說(shuō),即俗稱的
目前發(fā)現(xiàn)IP地址盜用比較常用的方法是定期掃描網(wǎng)絡(luò)各路由器的ARP(address resolution protocol)表,獲得當(dāng)前正在使用的IP地址以及IP-MAC對(duì)照關(guān)系,與合法的IP地址表,IP-MAC表對(duì)照,如果不一致則有非法訪問(wèn)行為發(fā)生。另外,從用戶的故障報(bào)告(盜用正在使用的IP地址會(huì)出現(xiàn)MAC地址沖突的提示)也可以發(fā)現(xiàn)IP地址的盜用行為。在此基礎(chǔ)上,常用的防范機(jī)制有:IP-MAC捆綁技術(shù)、代理服務(wù)器技術(shù)、IP-MAC-USER認(rèn)證授權(quán)以及透明網(wǎng)關(guān)技術(shù)等。
這些機(jī)制都有一定的局限性,比如IP-MAC捆綁技術(shù)用戶管理十分困難;透明網(wǎng)關(guān)技術(shù)需要專門的機(jī)器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),該機(jī)器容易成為瓶頸。更重要的是,這些機(jī)制都沒(méi)有完全從根本上防止IP地址盜用行為所產(chǎn)生的危害,只是防止地址盜用者直接訪問(wèn)外部網(wǎng)絡(luò)資源。事實(shí)上,由于IP地址盜用者仍然具有IP子網(wǎng)內(nèi)完全活動(dòng)的自由,因此一方面這種行為會(huì)干擾合法用戶的使用:另一方面可能被不良企圖者用來(lái)攻擊子網(wǎng)內(nèi)的其他機(jī)器和網(wǎng)絡(luò)設(shè)備。如果子網(wǎng)內(nèi)有代理服務(wù)器,盜用者還可以通過(guò)種種手段獲得網(wǎng)外資源。
利用端口定位及時(shí)阻斷IP地址盜用
交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備,它工作在數(shù)據(jù)鏈路層上,基于MAC地址來(lái)轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)包。因此,每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。通過(guò)SNMP(Simple Network Management protocol)管理站與各個(gè)交換機(jī)的SNMP代理通信可以獲取每個(gè)交換機(jī)保存的與端口對(duì)應(yīng)的MAC地址表,從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對(duì)應(yīng)表。將實(shí)時(shí)獲得的Switch-Port-MAC對(duì)應(yīng)表與事先獲得的合法的完整表格對(duì)照,就可以快速發(fā)現(xiàn)交換機(jī)端口是否出現(xiàn)非法MAC地址,進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現(xiàn)在不同的交換機(jī)的非級(jí)聯(lián)端口上,則意味著IP-MAC成對(duì)盜用。
發(fā)現(xiàn)了地址盜用行為后,實(shí)際上也已經(jīng)將盜用行為定位到了交換機(jī)的端口。再通過(guò)查詢事先建立的完整的Switch-Port-MAC對(duì)應(yīng)表,就可以立即定位到發(fā)生盜用行為的房間。
發(fā)生了地址盜用行為后,可以立即采取相應(yīng)的方法來(lái)阻斷盜用行為所產(chǎn)生的影響,技術(shù)上可以通過(guò)SNMP管理站向交換機(jī)代理發(fā)出一個(gè)SNMP消息來(lái)關(guān)斷發(fā)生盜用行為的端口,這樣盜用IP地址的機(jī)器無(wú)法與網(wǎng)絡(luò)中其他機(jī)器發(fā)生任何聯(lián)系,當(dāng)然也無(wú)法影響其他機(jī)器的正常運(yùn)行。
端口的關(guān)斷可以通過(guò)改變其管理狀態(tài)來(lái)實(shí)現(xiàn)。在MIB(Management Information Base)中有一個(gè)代表端口管理狀態(tài)的可讀寫對(duì)象ifAdminStatus(對(duì)象標(biāo)識(shí)符號(hào)為1.3.6.1.2.1.2.2.1.7),給ifAdminStatus賦不同的值,可以改變端口的管理狀態(tài),即“1”—開啟端口,“2”—關(guān)閉端口,“3”—供測(cè)試用。
這樣,通過(guò)管理站給交換機(jī)發(fā)送賦值信息(Set Request),就可以關(guān)閉和開啟相應(yīng)的端口,比如要關(guān)閉某一交換機(jī)(192.168.1.1)的2號(hào)端口,可以向該交換機(jī)發(fā)出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
結(jié)合IP-MAC綁定技術(shù),通過(guò)交換機(jī)端口管理,可以在實(shí)際使用中迅速發(fā)現(xiàn)并阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對(duì)盜用的問(wèn)題,同時(shí)也不影響網(wǎng)絡(luò)的運(yùn)行效率。交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備,它工作在數(shù)據(jù)鏈路層上,基于MAC地址來(lái)轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)包。因此,每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。通過(guò)SNMP(Simple Network Management protocol)管理站與各個(gè)交換機(jī)的SNMP代理通信可以獲取每個(gè)交換機(jī)保存的與端口對(duì)應(yīng)的MAC地址表,從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對(duì)應(yīng)表。將實(shí)時(shí)獲得的Switch-Port-MAC對(duì)應(yīng)表與事先獲得的合法的完整表格對(duì)照,就可以快速發(fā)現(xiàn)交換機(jī)端口是否出現(xiàn)非法MAC地址,進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現(xiàn)在不同的交換機(jī)的非級(jí)聯(lián)端口上,則意味著IP-MAC成對(duì)盜用。
發(fā)現(xiàn)了地址盜用行為后,實(shí)際上也已經(jīng)將盜用行為定位到了交換機(jī)的端口。再通過(guò)查詢事先建立的完整的Switch-Port-MAC對(duì)應(yīng)表,就可以立即定位到發(fā)生盜用行為的房間。
發(fā)生了地址盜用行為后,可以立即采取相應(yīng)的方法來(lái)阻斷盜用行為所產(chǎn)生的影響,技術(shù)上可以通過(guò)SNMP管理站向交換機(jī)代理發(fā)出一個(gè)SNMP消息來(lái)關(guān)斷發(fā)生盜用行為的端口,這樣盜用IP地址的機(jī)器無(wú)法與網(wǎng)絡(luò)中其他機(jī)器發(fā)生任何聯(lián)系,當(dāng)然也無(wú)法影響其他機(jī)器的正常運(yùn)行。
端口的關(guān)斷可以通過(guò)改變其管理狀態(tài)來(lái)實(shí)現(xiàn)。在MIB(Management Information Base)中有一個(gè)代表端口管理狀態(tài)的可讀寫對(duì)象ifAdminStatus(對(duì)象標(biāo)識(shí)符號(hào)為1.3.6.1.2.1.2.2.1.7),給ifAdminStatus賦不同的值,可以改變端口的管理狀態(tài),即“1”—開啟端口,“2”—關(guān)閉端口,“3”—供測(cè)試用。
這樣,通過(guò)管理站給交換機(jī)發(fā)送賦值信息(Set Request),就可以關(guān)閉和開啟相應(yīng)的端口,比如要關(guān)閉某一交換機(jī)(192.168.1.1)的2號(hào)端口,可以向該交換機(jī)發(fā)出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
結(jié)合IP-MAC綁定技術(shù),通過(guò)交換機(jī)端口管理,可以在實(shí)際使用中迅速發(fā)現(xiàn)并阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對(duì)盜用的問(wèn)題,同時(shí)也不影響網(wǎng)絡(luò)的運(yùn)行效率。
揭開“網(wǎng)絡(luò)釣魚”的真正面目
[ 2007-03-25 02:47:49 | 作者: sun ]
細(xì)心的用戶不難發(fā)現(xiàn),無(wú)論是微軟剛推出的windows vista操作系統(tǒng),還是諾頓的2007版殺毒軟件,在其對(duì)各自的產(chǎn)品宣傳期間,總會(huì)不厭其煩地提到一項(xiàng)新功能,那就是“反網(wǎng)絡(luò)釣魚”。在最近兩年,網(wǎng)絡(luò)釣魚已經(jīng)成為病毒、各種攻擊之后最嚴(yán)重的網(wǎng)絡(luò)威脅。
所謂網(wǎng)絡(luò)釣魚,就是利用一些“高仿”的網(wǎng)頁(yè)、qq消息等騙取網(wǎng)友的信任,并多以高額獎(jiǎng)金作為誘餌來(lái)贏得網(wǎng)友的“貪心”,很多網(wǎng)友就曾經(jīng)上過(guò)這個(gè)當(dāng),而且這種騙術(shù)目前非但沒(méi)有消失的跡象,反而越演越烈。下面就讓我們來(lái)看一下經(jīng)典的幾個(gè)網(wǎng)絡(luò)釣魚。
“幸運(yùn)”消息提示中獎(jiǎng)
這種消息通常來(lái)源于游戲平臺(tái),發(fā)送者往往署名客服或者“系統(tǒng)提示”,不明就里的用戶往往容易將其誤認(rèn)成是真正的系統(tǒng)發(fā)出的消息,而且注冊(cè)這樣的一個(gè)id是非常簡(jiǎn)單的,用戶極其容易上當(dāng)。其實(shí)我們?cè)诳吹竭@樣的消息時(shí)只需要核實(shí)一下用戶資料,或者平時(shí)注意一下真正的系統(tǒng)提示與假消息的區(qū)別就可以輕松避免上當(dāng)受騙。
高仿釣魚網(wǎng)頁(yè)
工商銀行的首頁(yè)已經(jīng)不幸中招了好幾次。在仿冒的工行網(wǎng)頁(yè)上,連網(wǎng)站認(rèn)證的細(xì)節(jié)都極其相似,不少用戶曾經(jīng)投訴過(guò)工行,但是這并不是工行的責(zé)任。還有一些比較著名的釣魚網(wǎng)頁(yè)就是qq中獎(jiǎng)提醒。在發(fā)送者給出的所謂領(lǐng)獎(jiǎng)頁(yè)面上,所有的項(xiàng)目都讓你覺(jué)得真實(shí)可信。不過(guò),這些仿冒網(wǎng)頁(yè)的地址都非常長(zhǎng),主域名的拼寫雖然很相似但是總會(huì)有所改變,有經(jīng)驗(yàn)的網(wǎng)友應(yīng)該熟記各大銀行的縮寫,這樣在遇到此類網(wǎng)頁(yè)的時(shí)候就能一眼識(shí)別。
獎(jiǎng)品郵寄需要付郵費(fèi)
幾乎在所有的仿冒領(lǐng)獎(jiǎng)網(wǎng)頁(yè)的獎(jiǎng)品發(fā)放后都會(huì)提到:此次獎(jiǎng)品的郵寄郵費(fèi)玩家自理。留心的用戶就會(huì)琢磨:既然這么高金額的獎(jiǎng)品都發(fā)了,還在乎幾十元的郵費(fèi)么?至此,釣魚者的真實(shí)目的也就被戳穿了。獎(jiǎng)品只是誘餌,郵費(fèi)才是他們真實(shí)所想拿到的。
做好防范 拒絕被釣
其實(shí)網(wǎng)絡(luò)釣魚并不神秘,它只是利用了社會(huì)工程學(xué)的原理,抓住人們貪小便宜的弱點(diǎn)進(jìn)行欺騙,只要提高安全意識(shí)完全是可以避免此類“釣魚”事件的。
網(wǎng)絡(luò)釣魚的目的已經(jīng)不僅僅局限于重要資料的獲取,現(xiàn)金成為目前釣魚者最想得到的東西,不過(guò),防范起來(lái)也并非難事:
1、在收到領(lǐng)獎(jiǎng)消息后,去該組織的官方網(wǎng)站尋找相關(guān)活動(dòng)的信息,以保證消息的準(zhǔn)確性;
2、盡量在地址欄里輸入想要到達(dá)的網(wǎng)站的地址,不要輕信別處網(wǎng)頁(yè)上的鏈接;
3、不要輕易透露自己的信用卡以及各種卡片的密碼,如果qq有獎(jiǎng)品送給你,它頂多需要你的移動(dòng)電話號(hào)碼,而不是你的信用卡密碼。
相信只要我們仔細(xì)分辨,提高安全意識(shí),網(wǎng)絡(luò)釣魚最終一定會(huì)向我們投降,畢竟邪不勝正。
所謂網(wǎng)絡(luò)釣魚,就是利用一些“高仿”的網(wǎng)頁(yè)、qq消息等騙取網(wǎng)友的信任,并多以高額獎(jiǎng)金作為誘餌來(lái)贏得網(wǎng)友的“貪心”,很多網(wǎng)友就曾經(jīng)上過(guò)這個(gè)當(dāng),而且這種騙術(shù)目前非但沒(méi)有消失的跡象,反而越演越烈。下面就讓我們來(lái)看一下經(jīng)典的幾個(gè)網(wǎng)絡(luò)釣魚。
“幸運(yùn)”消息提示中獎(jiǎng)
這種消息通常來(lái)源于游戲平臺(tái),發(fā)送者往往署名客服或者“系統(tǒng)提示”,不明就里的用戶往往容易將其誤認(rèn)成是真正的系統(tǒng)發(fā)出的消息,而且注冊(cè)這樣的一個(gè)id是非常簡(jiǎn)單的,用戶極其容易上當(dāng)。其實(shí)我們?cè)诳吹竭@樣的消息時(shí)只需要核實(shí)一下用戶資料,或者平時(shí)注意一下真正的系統(tǒng)提示與假消息的區(qū)別就可以輕松避免上當(dāng)受騙。
高仿釣魚網(wǎng)頁(yè)
工商銀行的首頁(yè)已經(jīng)不幸中招了好幾次。在仿冒的工行網(wǎng)頁(yè)上,連網(wǎng)站認(rèn)證的細(xì)節(jié)都極其相似,不少用戶曾經(jīng)投訴過(guò)工行,但是這并不是工行的責(zé)任。還有一些比較著名的釣魚網(wǎng)頁(yè)就是qq中獎(jiǎng)提醒。在發(fā)送者給出的所謂領(lǐng)獎(jiǎng)頁(yè)面上,所有的項(xiàng)目都讓你覺(jué)得真實(shí)可信。不過(guò),這些仿冒網(wǎng)頁(yè)的地址都非常長(zhǎng),主域名的拼寫雖然很相似但是總會(huì)有所改變,有經(jīng)驗(yàn)的網(wǎng)友應(yīng)該熟記各大銀行的縮寫,這樣在遇到此類網(wǎng)頁(yè)的時(shí)候就能一眼識(shí)別。
獎(jiǎng)品郵寄需要付郵費(fèi)
幾乎在所有的仿冒領(lǐng)獎(jiǎng)網(wǎng)頁(yè)的獎(jiǎng)品發(fā)放后都會(huì)提到:此次獎(jiǎng)品的郵寄郵費(fèi)玩家自理。留心的用戶就會(huì)琢磨:既然這么高金額的獎(jiǎng)品都發(fā)了,還在乎幾十元的郵費(fèi)么?至此,釣魚者的真實(shí)目的也就被戳穿了。獎(jiǎng)品只是誘餌,郵費(fèi)才是他們真實(shí)所想拿到的。
做好防范 拒絕被釣
其實(shí)網(wǎng)絡(luò)釣魚并不神秘,它只是利用了社會(huì)工程學(xué)的原理,抓住人們貪小便宜的弱點(diǎn)進(jìn)行欺騙,只要提高安全意識(shí)完全是可以避免此類“釣魚”事件的。
網(wǎng)絡(luò)釣魚的目的已經(jīng)不僅僅局限于重要資料的獲取,現(xiàn)金成為目前釣魚者最想得到的東西,不過(guò),防范起來(lái)也并非難事:
1、在收到領(lǐng)獎(jiǎng)消息后,去該組織的官方網(wǎng)站尋找相關(guān)活動(dòng)的信息,以保證消息的準(zhǔn)確性;
2、盡量在地址欄里輸入想要到達(dá)的網(wǎng)站的地址,不要輕信別處網(wǎng)頁(yè)上的鏈接;
3、不要輕易透露自己的信用卡以及各種卡片的密碼,如果qq有獎(jiǎng)品送給你,它頂多需要你的移動(dòng)電話號(hào)碼,而不是你的信用卡密碼。
相信只要我們仔細(xì)分辨,提高安全意識(shí),網(wǎng)絡(luò)釣魚最終一定會(huì)向我們投降,畢竟邪不勝正。
動(dòng)易2006最新漏洞補(bǔ)丁
[ 2007-03-25 02:47:23 | 作者: sun ]
其實(shí)這是2003系統(tǒng)流傳已久的小特點(diǎn),不明白官方為什么大驚小怪地要?jiǎng)h除相關(guān)文件......連華夏的怪狗也是改UPLOAD文件名的......過(guò)濾用戶名注冊(cè)中的“.”就OK了。
于是我下了個(gè)動(dòng)易2005SP5找到REG目錄中的User_RegCheck.asp,發(fā)現(xiàn)最后面就有一個(gè)函數(shù)
'**************************************************
'函數(shù)名:UserNamefilter(
'作 用:過(guò)濾用戶名(增強(qiáng)過(guò)濾,用戶名現(xiàn)用于建立個(gè)人文集目錄)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = tempChar
End Function
%>
直接往 strBadChar 里加上過(guò)濾“.”,然后測(cè)試,居然還能注冊(cè)*.asp的文件,暈S。再看到User_CheckReg.asp,真不明白要兩個(gè)來(lái)干什么用,改之
Sub User_CheckReg()
Dim RegUserName
RegUserName = Trim(request("UserName"))
If InStr(RegUserName, "=") > 0 or InStr(RegUserName, "%") > 0 or InStr(RegUserName, Chr(32)) > 0 or InStr(RegUserName, "?") > 0 or InStr(RegUserName, "&") > 0 or InStr(RegUserName, ";") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, "'") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, Chr(34)) > 0 or InStr(RegUserName, Chr(9)) > 0 or InStr(RegUserName, " ") > 0 or InStr(RegUserName, "$") > 0 or InStr(RegUserName, "*") or InStr(RegUserName, "|") or InStr(RegUserName, """") > 0 or InStr(RegUserName, "^") > 0 or InStr(RegUserName, "--") > 0 or InStr(RegUserName, ".") > 0 or InStr(RegUserName, "+") > 0 Then
FoundErr = True
ErrMsg = ErrMsg & "<br><li>用戶名中含有非法字符</li>"
加上Or InStr(RegUserName, ".") > 0
測(cè)試居然還沒(méi)能注冊(cè)*.asp,倒塌......
仔細(xì)看下REG里的所有文件,發(fā)現(xiàn)User_RegPost.asp
看下這里
<!--#include file="../conn.asp"-->
<!--#include file="../inc/md5.asp"-->
<!--#include file="../inc/function.asp"-->
<!--#include file="../API/API_Config.asp"-->
<!--#include file="../API/API_Function.asp"-->
剛才那兩個(gè)CHECK簡(jiǎn)直就是廢的,根本用不上......
再找到
If CheckUserBadChar(UserName) = False Then
ErrMsg = ErrMsg & "<li>用戶名中含有非法字符</li>"
FoundErr = True
End If
看來(lái)與CheckUserBadChar這個(gè)函數(shù)有關(guān)
搜索之,發(fā)現(xiàn)接近末尾的地方
Function CheckUserBadChar(strChar)
Dim strBadChar, arrBadChar, i
strBadChar = "',%,.,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
If strChar = "" Then
CheckUserBadChar = False
往strBadChar 加上“.”號(hào)的過(guò)濾,測(cè)試,OK,提示用戶名非法。
真搞不明白動(dòng)易那幫人怎么想的,一個(gè)那么簡(jiǎn)單的問(wèn)題搞到那么復(fù)雜,連幫忙改的人都給搞復(fù)雜來(lái),MMD
PS,我原來(lái)還試過(guò)把INC里的function.asp里定義SQL注射的地方把.a和.e設(shè)置成過(guò)濾字符,防止別人注冊(cè),但似乎沒(méi)用,不知道為什么.....沒(méi)仔細(xì)研究了,動(dòng)易那么變態(tài),什么都愛(ài)復(fù)雜化的,更懶得研究了......
補(bǔ)丁只測(cè)試過(guò)2006SP5有效,其他版本貌似那兩個(gè)CHECK有的有用的,懶得弄了。
于是我下了個(gè)動(dòng)易2005SP5找到REG目錄中的User_RegCheck.asp,發(fā)現(xiàn)最后面就有一個(gè)函數(shù)
'**************************************************
'函數(shù)名:UserNamefilter(
'作 用:過(guò)濾用戶名(增強(qiáng)過(guò)濾,用戶名現(xiàn)用于建立個(gè)人文集目錄)
'**************************************************
Function UserNamefilter(strChar)
If strChar = "" or IsNull(strChar) Then
UserNamefilter = ""
Exit Function
End If
Dim strBadChar, arrBadChar, tempChar, i
strBadChar = "',%,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & "," & Chr(0) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
tempChar = strChar
For i = 0 To UBound(arrBadChar)
tempChar = Replace(tempChar, arrBadChar(i), "")
Next
UserNamefilter = tempChar
End Function
%>
直接往 strBadChar 里加上過(guò)濾“.”,然后測(cè)試,居然還能注冊(cè)*.asp的文件,暈S。再看到User_CheckReg.asp,真不明白要兩個(gè)來(lái)干什么用,改之
Sub User_CheckReg()
Dim RegUserName
RegUserName = Trim(request("UserName"))
If InStr(RegUserName, "=") > 0 or InStr(RegUserName, "%") > 0 or InStr(RegUserName, Chr(32)) > 0 or InStr(RegUserName, "?") > 0 or InStr(RegUserName, "&") > 0 or InStr(RegUserName, ";") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, "'") > 0 or InStr(RegUserName, ",") > 0 or InStr(RegUserName, Chr(34)) > 0 or InStr(RegUserName, Chr(9)) > 0 or InStr(RegUserName, " ") > 0 or InStr(RegUserName, "$") > 0 or InStr(RegUserName, "*") or InStr(RegUserName, "|") or InStr(RegUserName, """") > 0 or InStr(RegUserName, "^") > 0 or InStr(RegUserName, "--") > 0 or InStr(RegUserName, ".") > 0 or InStr(RegUserName, "+") > 0 Then
FoundErr = True
ErrMsg = ErrMsg & "<br><li>用戶名中含有非法字符</li>"
加上Or InStr(RegUserName, ".") > 0
測(cè)試居然還沒(méi)能注冊(cè)*.asp,倒塌......
仔細(xì)看下REG里的所有文件,發(fā)現(xiàn)User_RegPost.asp
看下這里
<!--#include file="../conn.asp"-->
<!--#include file="../inc/md5.asp"-->
<!--#include file="../inc/function.asp"-->
<!--#include file="../API/API_Config.asp"-->
<!--#include file="../API/API_Function.asp"-->
剛才那兩個(gè)CHECK簡(jiǎn)直就是廢的,根本用不上......
再找到
If CheckUserBadChar(UserName) = False Then
ErrMsg = ErrMsg & "<li>用戶名中含有非法字符</li>"
FoundErr = True
End If
看來(lái)與CheckUserBadChar這個(gè)函數(shù)有關(guān)
搜索之,發(fā)現(xiàn)接近末尾的地方
Function CheckUserBadChar(strChar)
Dim strBadChar, arrBadChar, i
strBadChar = "',%,.,^,&,?,(,),<,>,[,],{,},/,\,;,:," & Chr(34) & ",*,|,"""
arrBadChar = Split(strBadChar, ",")
If strChar = "" Then
CheckUserBadChar = False
往strBadChar 加上“.”號(hào)的過(guò)濾,測(cè)試,OK,提示用戶名非法。
真搞不明白動(dòng)易那幫人怎么想的,一個(gè)那么簡(jiǎn)單的問(wèn)題搞到那么復(fù)雜,連幫忙改的人都給搞復(fù)雜來(lái),MMD
PS,我原來(lái)還試過(guò)把INC里的function.asp里定義SQL注射的地方把.a和.e設(shè)置成過(guò)濾字符,防止別人注冊(cè),但似乎沒(méi)用,不知道為什么.....沒(méi)仔細(xì)研究了,動(dòng)易那么變態(tài),什么都愛(ài)復(fù)雜化的,更懶得研究了......
補(bǔ)丁只測(cè)試過(guò)2006SP5有效,其他版本貌似那兩個(gè)CHECK有的有用的,懶得弄了。
