Безопасность CGI.
WEB-скриптинг.
Непонятно, почему многие администраторы закрывают глаза на используемые на их сервере CGI-скрипты, при данном они часами могут настраивать остальные аспекты безопасности системы, даже не ведая, что творится у них «под носом». А ведь CGI-скприпты, особенно написанные третьими лицами (форумы, гостевые книги и т.д.), отображают большую угрозу безопасности для Web-сервера.
Ранее было показано, как надо употреблять CGI-скрипт для выполнения команд с привилегиями Web-сервера. Но это далеко не весь вред, который могут причинить Web-скрипты. Поэтому Web-скриптингу можно уделить значительно больше внимания, чем обычно.
Нужно убедиться, что выключен SSI и CGI, если в них нет потребности.
Рекомендуется создать для SSI и CGI два каталога (один для SSI и один для CGI), доступ к которым будет контролироваться. Если пользователю нужен CGI-сценарий, он должен будет попросить поместить этот сценарий в каталог CGI. Тогда, перед записью сценария можно проверить его на фигурирование вредоносного кода.
Безопасность Apache: управление доступом.
Ранее был рассмотрен HTTP-доступ со стороны клиента, теперь посмотрим на него с другой стороны - со стороны сервера.
Термины «авторизация» и «аутентификация» часто используются как взаимозаменяемые, но у каждого из них есть свое точное значение. Аутентификация - процесс проверки имени пользователя и пароля пользователя. А авторизация - это проверка полномочий пользователя: есть ли у данного пользователя права доступа к тому или иному объекту, к примеру файлу. Аутентификация часто (но не всегда) представляется первым шагом авторизации.
Целевыми объектами авторизации, конечно же, являются файлы и каталоги сервера: к примеру, надо создать каталог, доступ к которому разрешен только сотрудникам компании. В данном каталоге будут находиться некоторые важные внутренние документы или же программы, доступные только для сотрудников. В данном случае доступно два метода контроля доступа: проверка имени пользователя/пароля и проверка IP-адреса.
Начнем с доступа по IP-адресу.
Безопасность Apache: сокрытие версии.
Если клиент отправит Web-серверу Apache запрос HEAD, то в ответ он получит заголовок ответа сервера, который содержит информацию об окружении, в котором он запущен. Проверить это довольно просто: можно запустить telnet и подключиться к Web-серверу на порт 80, затем надо ввести запрос HEAD / НТТР/1.0 и нажать Enter дважды:
APACHE
Одним из самых популярных OpenSource-приложений представляется Web-сервер Apache. Apache сделал революцию в мире Web-серверов, став эталонным стандартом на Web-серверы - теперь Apache входит во все дистрибутивы Linux, FreeBSD, даже есть версии Apache для Windows.
Apache без особых усилий дает возможность настроить обычный домашний компьютер, как Web-сервер. Но здесь есть опасность его использования: Apache устанавливается с файлом конфигурации, который дает возможноть сделать всего несколько изменений для запуска сервера, что не сказывается положительным образом на безопасности системы - ведь оставшиеся директивы остаются по умолчанию. К тому же в новых версиях Apache есть поддержка всевозможных расширений (модули), которые тоже требуют дополнительной настройки.
Релиз сетевого сканера nmap 5.0
16 июля состоялся релиз самого известного сетевого сканера Nmap 5.0. Это первый стабильный релиз с 4.76(сентябрь прошлого года), и первый крупный релиз с 4.50 выпущенного в 2007 году.
Ниже приведен список 5 наиболее существенных изменений в Nmap по версии самого автора программы:
- Новый инструмент Ncat для передачи данных, перенаправления и отладки.
- В дополнение инструмент сравнения сканирования Ndiff дополняет набор приложений Nmap, которые работают вместе для удобства сетевых администраторов и безопасности информации. Ndiff позволяет автоматически сканировать вашу сеть ежедневно, и сообщать о любых изменениях (система работает или нет, или изменения в рабочих программных сервисах). Другие два инструмента, идущие с Nmap, - это Ncat и значительно улучшенный Zenmap GUI, и еще просмотр результатов.
- Nmap показатели резко улучшились. Прошлым летом мы провели сканирование большей части Интернета и объединили эти данные с журналами сканирования закрытых предприятий для определения наиболее часто открытых портов. Это позволяет Nmap сканировать меньше портов по умолчанию при поиске открытых портов. Далее...