Web服務(wù)器維護(hù)和安全管理技巧之腳本安全管理

根據(jù)以往經(jīng)驗(yàn)，其實(shí)很多Web服務(wù)器因?yàn)楸还舳c瘓，都是由于不良的腳本所造成的。特別是，攻擊者非常喜歡利用CGI程序或者PHP腳本，利用他們的腳本或者程序漏洞，進(jìn)行攻擊。

一般來說，WEB應(yīng)用需要傳遞一些必要的參數(shù)，才能夠正常訪問。而這個參數(shù)又可以分為兩類，一個是可值得信任的參數(shù)，另外一類是不值得信任的參數(shù)。如企業(yè)可能是自己管理Web服務(wù)器，而不是托管。他們就把服務(wù)器放置在企業(yè)的防火墻內(nèi)部，以提高Web服務(wù)器的安全性。

所以一般來說，來自于企業(yè)防火墻內(nèi)部的參數(shù)都是可靠的，值得信任的;而來自于企業(yè)外部的參數(shù)，都是不值得信任的。但是，也不是說不值得信任的參數(shù)或者說，來自于防火墻外部的參數(shù)Web服務(wù)器都不采用。而是說，在Web服務(wù)器設(shè)計(jì)的時(shí)候，需要注意，采用這些不值得信任的參數(shù)的時(shí)候，需要進(jìn)行檢查，看其是否合法;而不能向來自于企業(yè)內(nèi)部的參數(shù)那樣，不管三七二十一，都照收不誤。這明顯會對Web服務(wù)器的安全帶來威脅。如有時(shí)會，攻擊者利用TELNET連接到80端口，就可以向CGL腳本傳遞不安全的參數(shù)。

所以，在CGI程序編寫或者PHP腳本編輯的時(shí)候，我們要注意，一定不能讓其隨便接受陌生人的參數(shù)，不要隨便跟陌生人打交道。在接受參數(shù)之前，一定要先檢驗(yàn)提供參數(shù)的人或者參數(shù)本身的合法性。在程序或者腳本編寫的時(shí)候，可以預(yù)先加入一些判斷條件。當(dāng)服務(wù)期認(rèn)為若提供的參數(shù)不合法的時(shí)候，及時(shí)通知管理員。這也可以幫助我們，盡早的發(fā)現(xiàn)可能存在的攻擊者，并采取相應(yīng)的措施。

對于腳本的安全性的注意問題

1、在腳本或者程序編寫的時(shí)候，不應(yīng)該把任何不信任的參數(shù)直接保存為會話變量。因?yàn)楦鶕?jù)WEB應(yīng)用的設(shè)計(jì)原理，會話變量只保存信任變量。也就是說，會話變量中的值，WEB服務(wù)都認(rèn)為其是值得信任的，會不加思索的采用。一般的設(shè)計(jì)思路是，先設(shè)置一個臨時(shí)變量進(jìn)行存儲，然后編寫一個檢驗(yàn)其合法性的過程或者函數(shù)，來驗(yàn)證其合法性。

只有通過驗(yàn)證的時(shí)候，這個值才能夠被傳給會話變量。根據(jù)經(jīng)驗(yàn)，要是沒有親身經(jīng)歷過慘痛教訓(xùn)的WEB管理員，可能對此不屑一顧。但是，那些有過這方面教訓(xùn)的人，則會非?？粗剡@個合法性的檢驗(yàn)過程。畢竟是吃一塹長一智，所以新手還是需要多聽聽過來人的建議，不會吃虧的。

2、在沒有充分必要的時(shí)候，不要采用腳本，盡量使得網(wǎng)頁的簡單化。其實(shí)，企業(yè)的網(wǎng)站跟個人網(wǎng)站有個很大的不同，企業(yè)的網(wǎng)站只要樸素就好，不需要過多的渲染。一方面，過度渲染的網(wǎng)站會降低用戶網(wǎng)站訪問的速度;另一方面，這也會降低網(wǎng)絡(luò)的安全性能。故，在沒有充分必要的情況下，不要共腳本或者程序在渲染網(wǎng)站的華而不實(shí)的功能。

Web服務(wù)器維護(hù)和安全管理技巧就全部向大家介紹完了。希望大家已經(jīng)掌握。

【編輯推薦】

1. Web服務(wù)器維護(hù)和安全管理技巧（1）
2. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
3. Web應(yīng)用安全日趨嚴(yán)重我們該拿什么拯救
4. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述