在用JSP制作的電子商務(wù)網(wǎng)站多如牛毛。但是對于JSP網(wǎng)站而言，安全性真的能夠讓人放心嗎？面對層出不窮的黑客攻擊和病毒襲擊，JSP網(wǎng)站的服務(wù)器能夠比其他網(wǎng)站的服務(wù)器器更加安全嗎？前段時間，應(yīng)朋友之邀，我對他們托管的三臺服務(wù)器的主機進行了測試，發(fā)現(xiàn)了JSP網(wǎng)站存在的幾個問題。 　

入侵測試第一步：掃描

掃描是入侵的第一步，它可以讓你對即將入侵的目標有一個全面的了解。同時掃描還有可能發(fā)現(xiàn)掃描對象的漏洞，為入侵提供一個指導(dǎo)方向。

朋友的兩臺服務(wù)器為Linux，一臺為Windows系統(tǒng)，在路由器后面還有一臺Cisco PIX 525對三臺主機進行保護，只允許外部用戶連接不同主機的部分端口，例如80,25,110。

根據(jù)檢測，Cisco PIX防火墻過濾規(guī)則設(shè)置比較嚴密，基本上沒有多余端口允許外部用戶訪問。細致分析后，我發(fā)現(xiàn)，目標網(wǎng)絡(luò)的主機通過地址轉(zhuǎn)換來提供對外訪問，內(nèi)部使用192.168.*.*地址段。

先不考慮那么多，找個掃描軟件來看看主機的安全情況。我找來了X-Scan，在外部對這幾臺主機進行了端口掃描之后，生成了一份關(guān)于端口的報表，發(fā)現(xiàn)其中有一個Tomcat服務(wù)器，解釋的自然就是JSP文件了。

JSP網(wǎng)站小知識：
Tomcat Web服務(wù)器是一款開源的適合于各種平臺的免費網(wǎng)絡(luò)服務(wù)器。eBay.com與Dell 計算機等知名網(wǎng)站都采用或者曾經(jīng)采用Tomcat的container容器執(zhí)行Servlet 與JSP。

看來，只能通過Web服務(wù)進行間接攻擊。首先檢查TCP 80端口的服務(wù)。我發(fā)現(xiàn)，新聞搜索的功能是由端口8080提供的，輸入http:// 202.103.*.168:8080/之后，得到了一個系統(tǒng)管理登錄頁面，簡單地測試了一下，輸入“test/test”作為“用戶名/口令”，似乎認證成功，但實際上并不能進入下一個頁面。

JSP網(wǎng)站專家支招：對于掃描來說，它很容易暴露我們網(wǎng)站的弱勢方面。應(yīng)對掃描，我們可以架設(shè)一個蜜罐來誤導(dǎo)掃描者，蜜罐可以讓系統(tǒng)偽裝成到處是漏洞，從而遮蔽真正存在的漏洞，也可以偽裝成沒有任何漏洞，讓入侵者不知道從何入手。

【編輯推薦】

1. 簡單介紹JSP技術(shù)
2. 需要掌握的十個JSP標簽庫
3. JSP技術(shù)中表單數(shù)據(jù)存儲的通用方法
4. 詳解JSP技術(shù)的方法
5. 怎樣學(xué)習(xí)JSP技術(shù)