webservice在什么情况下使用

网站安全威胁与需求分析

网站安全概念：网站是一个基于B/S技术架构的综合信息服务平台，主要提供网页信息及业务后台对外接口服务。网站安全主要是有关网站的机密性、完整性、可用性及可控性。

网站安全分析：网站面临主要威胁：1.非授权访问。2.网页篡改。3.数据泄露。4.恶意代码。5.网站假冒。6.拒绝服务。常见的网站拒绝服务有UDP洪水、ICMP洪水、SYN洪水、HTTP洪水。7.网站后台管理安全威胁。

网站安全需求：主要包括物理环境、网络通信、操作系统、数据库、应用服务器、Web服务软件、Web应用程序、数据等安全威胁防护。同时，网站运行维护需要建立一个相应的组织管理体系以及相应的安全运维工具和平台。

Apache Web安全分析与增强

Apache Web概述：Apache httpd是一个用于搭建Web服务器的开源软件。配置文件如下：

1.http.conf。是Apache的主配置文件，httpd程序启动时会先读取httpd.conf。该文件设定Apcahe服务器的一般的属性、端口、执行者身份等。

2.conf/srm.conf。是数据配置文件，不是必须的，可以完全在httpd.conf里设定。

3.conf/access.conf。是负责基本的读取文件控制，可以在http.conf里设定。

4.conf/mine.conf。设定Apcahe 所能辨别的MIME格式，一般而言，无须动此文件。

Apache Web安全分析：主要面临以下威胁：

1.Apache Web软件程序威胁。Apache软件包自身存在的安全隐患。

2.Apache Web软件配置威胁。Apache网站管理配置漏洞，访问网站敏感信息，实例有目录索引、资源位置预测、信息泄露。

3.Apache Web安全机制威胁。利用Apache安全机制的漏洞，实例有口令暴力攻击、授权不当、弱口令恢复验证。

4.Apache Web应用程序威胁。利用Apache应用程序漏洞来攻击网站，实例有SQL注入、输入验证错误。

5.Apache Web服务通讯威胁。Apache一般情况下使用的HTTP协议是明文传递的，攻击者可以通过监听手段获取Apache服务器和浏览器之间的通信内容。

6.Apache Web服务内容威胁。利用网络服务的漏洞，修改网页信息或者发布虚假信息。实例有网页恶意篡改和网络钓鱼。

7.Apache Web服务器拒绝服务威胁。通过某些手段使服务器拒绝对HTTP应答。这使得Apache对系统资源需求剧增，最终造成系统变慢甚至完全瘫痪。

Apache Web安全机制：

1.Apache Web本地文件安全。Apache安装后默认设置的文件属主和权限是比较合理与安全的。可通过chmod命令修改。

2.Apache Web模块管理机制。Apache软件采用模块化结构，当Apache不需要某项功能时，就可以通过配置方式，禁止相应的模块。

3.Apache Web认证机制。Apache提供了非常简单方便的用户认证机制。

4.连接耗尽应对机制。减少Apache超时设置、增大MaxClients设置、限制同一IP的最大连接数、多线程下载保护机制。

5.Apache Web自带的访问机制。基于IP地址或域名的访问控制是Apache提供的一种根据客户机的IP地址或域名信息进行网站访问授权控制的措施。Apache的access.conf文件负责设置文件的访问权限，可以实现互联网域名和IP地址的访问控制。

6.Apache Web审计和日志。记录存放在access.log和error.log。access.log记录对Web站点的每个进入请求。error.log记录产生错误状态的请求。

7.Apache Web服务器防范Dos。

Apache Web安全增强：

1.及时安装Apache Web补丁。

2.启用.htaccess文件保护网页。.htaccess功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下文件等。

3.为Apache Web服务软件设置专门的用户和组按照最小特权原则。

4.隐藏Apache Web软件版本号。方法是，修改配置文件http.conf，找到关键字ServerSignature和Server Tokens，将其参数设为ServerSignture off和ServerTokens Prod，然后重新启动Apache服务器。

5.Apache Web目录访问安全增强。⑴设定禁止使用目录索引文件。⑵禁止默认访问。⑶禁止用户重载。

6.Apache Web文件目录保护。

7.删除Apache Web默认目录或不必要的文件。

8.使用第三方软件安全增强Apache Web服务。⑴构建Apache Web服务器“安全沙箱”，指通过chroo机制来更改某个软件运行时所能看到的根目录。⑵使用Open SSL来增强Apache Web安全通信。⑶增强Apache Web服务器访问控制。

IIS安全分析与增强

IIS概述：是Microsoft公司的Web服务软件的简称，主要是提供Web服务。

IIS安全分析与增强

IIS典型安全威胁：非授权访问、网络蠕虫、网页篡改、拒绝服务、IIS软件漏洞。

IIS安全机制：IIS认证机制、IIS访问控制、IIS日志审计。

1.IIS认证方式：匿名认证、基本验证、证书认证、数字签名认证、IIS证书认证、Windows认证

2.IIS访问控制。IIS具有请求过滤、URL授权控制、IP地址现在、文件授权等访问控制措施。IIS的访问控制流程步骤：1.用户浏览器所在计算机的IP地址是否限制？2.用户身份验证是否通过？3.在IIS中指定的Web权限是否运行用户访问？4.用户正在进行的操作请求是否符合相应Web文件或文件夹的NTFS许可权限？5.用户通过上述访问控制措施就可以访问其请求的资源。

3.IIS日志审计。能够记录Web访问情况，IIS相关的日志审计还有操作系统、数据库、应用服务。

IIS安全增强：

1.技术安装IIS补丁。2.启动动态IP限制，用于减缓拒绝服务攻击及暴力口令猜测攻击。3.启用URLScan，限制特定的HTTP请求，可以防止有害的HTTP请求危及网站的应用。4.启用IIS Web应用防火墙，可以识别和阻挡SQL注入、Dos、CSRF/XSRF、XSS等Web应用威胁，还提供基于行为的入侵防护以识别零日攻击与目标定向攻击。5.启用SSL服务。IIS的网站信息传递在通常情形下是明文传递的，启用SSL服务后，可以保障IIS Web网络通信安全。

Web应用漏洞分析与防护

Web应用安全概述：常见的Web安全漏洞有两个方面：一是技术安全漏洞，如SQL注入漏洞、跨站脚本（XSS）、恶意文件执行、非安全对象引用等。二是业务逻辑安全漏洞，来源于业务工作流程及处理上因安全考虑不周或处理不当而产生的安全隐患。

OWASP Top 10是国际开放Web应用安全项目组推出的前10个Web应用漏洞排名。

Web应用漏洞防护：

1.SQL注入漏洞分析与防护防范方法：

⑴对应用程序输入进行安全过滤，禁止一切非预期的参数传递到后台数据库服务器。过滤方法有建立程序输入黑名单和白名单。

⑵设置应用程序最小化权限。

⑶屏蔽应用程序错误提示信息。

⑷对开源Web应用程序做安全适应性改造。利用开源网站应用程序进行安全增强，避免攻击者无须猜测就可以知道网站后台数据库的类型以及各种表结构，进而较容易地进行SQL注入攻击。

2.文件上传漏洞防护措施：将上传目录设置为不可执行，避免上传文件远程触发执行。检查上传文件的安全性，阻断恶意文件上传。

3.跨站脚本攻击。

网站安全保护机制与技术方案