比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
下一代防火墙抵御“厄运饼干”漏洞攻击
关键字：管理 深信服
　　摘要：深信服作为国内首家推出下一代产品的网络设备厂商，第一时间更新了其下一代防火墙的WAF规则库，使它的下一代防火墙能够有效检测并抵御利用“厄运cookie”(cookie即曲奇饼)漏洞发起的攻击。“厄运cookie”漏洞使全球1200万台的安全性受到了影响，攻击者可利用该安全漏洞监测用户流量并获取路由器的管理员权限，从而导致通过路由器的文本信息暴露无余。多家知牌的路由器均在受影响之列，广大用户需要对该漏洞引起重视。
　　漏洞编号为CVE-的严重漏洞“厄运cookie(Misfortune Cookie)”正在影响全球1200万台路由器的安全，该漏洞与AllegroSoft公司开发的RomPager有关，是由于RomPager不安全的设计引起的。RomPager被全球诸多路由器厂商使用于路由设备固件以及调制解调器当中。
　　攻击者可以向存在漏洞的RomPager服务器发送特定请求，使得设备内存紊乱，从而获取管理员权限。控制设备后，黑客可查看受害者的上网行为，从路由器、网关设备中读取流量信息，改变DNS设置，盗取用户的账号密码和敏感信息。此外，攻击者还可以利用该漏洞监控网络摄像头，电脑以及其他接入网络的设备。
　　深信服安全团队通过对RomPager软件进行全网抓取，发现我国共有176，592台路由器正在使用RomPager，其中北京、沈阳、包头、长沙和南京是使用数量最多的前5个城市。
　　中国使用RomPager TOP5城市数据统计
　　由于RomPager在国内路由器上使用非常广泛，多家知名品牌路由器产品都受到该漏洞的影响。为确保用户网络的安全，深信服安全专家建议大家：
　　1. 检查自身网络中路由器的RomPager版本是否低于4.34，若低于该版本，请即刻升级路由器固件;
　　2. 若用户无法确定使用的路由器是否存在“厄运cookie”漏洞，可通过深信服紧急漏洞检测平台检查设备是否存在该漏洞;
　　深信服紧急漏洞检测平台网址
　　3. 如果已确认自己的设备存在该漏洞，请立即关闭路由、网关的开放端口，如80、、7547端口，并等待厂家更;
　　4. 如果您不愿让自己的设备闲置，可将存在漏洞的路由器做桥接，让其它无漏洞或者打了安全补丁的路由器做网关;
　　5. 当您采取上述方法发现仍旧无法解决问题时，请您及时与我们取得联系。热线电话：400-806-6868;
　　6. 深信服下一代防火墙NGAF已第一时间更新WAF规则库，所有在线的NGAF均可自动完成升级，NGAF可有效检测并抵御黑客利用“厄运cookie”漏洞发起的攻击，部署了深信服下一代防火墙的用户无需担心。
　　温馨提醒
　　对于没有部署深信服下一代防火墙的用户，可通过拨打深信服热线电话400-806-6868申请NGAF试用，我们的安全专家将第一时间和您联系!
[ 责任编辑：ll ]
HPE Octane为开发者和…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabytehttp www安全必备知识
字体：[ ] 类型：转载 时间：
还记得美国为首的北约轰炸我驻南联盟使馆，大家义愤填膺但又无可奈何，于是有黑客呼吁黑美国佬的网站，很快大家纷纷学习攻击Web的方法和技巧，并且成功的黑了美国的几个军事主页，有的还挂上了五星红旗。这令美国政府十分尴尬。
要投巨资维护Web站点的安全。另一个最近的例子是，国内最大的综合性网站新浪在某天上午被黑客成功攻击，其门户页面被换成了黄色页面。给新浪造成了不小的副作用。这两个例子说明了Web站点的安全是十分重要的，可以说，随着Internet的飞速发展，Web的安全其重要性逐渐超过其他应用安全。同时，由于Web必须要有开放性，这就是说，必须让任何人都能够有访问的权利，因此，使得防范更加困难。&
&&&&Web的安全分为服务器安全和客户端安全（浏览器），前者主要针对Web的构建者，后者针对普通的用户。本章将就这两方面展开讨论。&
二、什么是HTTP&
&&&&HTTP（Hypertext&Transfer&Protocol）超文本传输协议允许用户从WWW(World&Wide&Web)以及其他分布式信息系统请求和接受超文本的内容。它运行在TCP之上并用绑定服务器端口80，然后它还可以使用其他端口和协议来提供一个可靠的数据流。它是一个请求/响应协议。为了获得信息，一个浏览器客户程序（如netscape）向一个Apache服务器建立一个TCP连接并请求一个资源（“GET”）。服务器检查请求并根据服务器配置和包含的内容进行响应。服务器也许发送一个超文本标记语言（HTML）文件、文本、图片、声音、影像或一个java&applet，它们可以在浏览器显示出来。服务器也可以运行一个程序来响应浏览器的请求（如通用网关接口或服务器的应用程序接口）。&
&&&&测试HTTP连接的一个简易方法（同时也是一个潜在的安全漏洞）是telnet到一个Web服务器主机的端口80。可以输入“GET/”来浏览站点的基本HTML文档（如index.html），如下所示（去掉了HTML内容）：&
$&telnet&80&
Connected&to&.&
Escape&character&is&‘^]'&
(在此敲入GET&/)&GET&/&
下面刷的出来一个html的文件，例如：&
&title&老虎之家&/title&&
&meta&http-equiv=&Content-Type&&content=&text/&charset=gb2312&&&
&frameset&rows=&128,327*&&frameborder=&YES&&border=&0&&framespacing=&0&&cols=&*&
&frame&name=&topFrame&&scrolling=&NO&&noresize&src=&index-3.html&&&&
&frame&name=&mainFrame&&src=&index-2.html&&&
&/frameset&&
&noframes&&body&bgcolor=&#FFFFFF&&&
&/body&&/noframes&&
Connection&closed&by&foreign&host.&
三、安全风险的分类&
&&&&Web安全风险一般可以分为三类：&
l&对Web服务器及其相连LAN的威胁
对Web客户机的威胁
对服务器和客户机之间的通信信道的威胁&
1．服务器的风险&
&&&&通常的网络安全总是设置各种各样的限制，使得不明身份的人无法获得非授权的服务但是Web服务器恰恰相反，它希望接受尽可能多的客户，对客户几乎没有任何限制和要求，好了，这样，相对于其他网络服务器，Web是最容易受到攻击的。最常见的威胁是HTTP服务器软件中的bug、错误的配置、不安全的CGI程序或者缺乏强大的机密功能等等。服务器通常受到的侵害有：修改和替换服务器提供的内容；获得对服务器访问控制保护的保密文档的访问权；在服务器上执行任意命令并破坏服务器的系统安全；检查日志文件来危害用户的隐私；进行服务拒绝攻击，使服务器或者网络连接失败。&
2．客户端风险&
&&&&浏览网页是一个并不十分安全的活动。Bug、不合适的“活跃内容”和脚本以及服务器管理可以带给浏览者如下危害：应用程序和系统崩溃；包括病毒和特洛一木马在内的恶意代码；丢失保密的信息；隐私被侵犯等等。&
&&&&主要的Web浏览器都支持下载嵌在HTML主页中的脚本并在浏览器中执行他们的功能。通常，这些程序用来与用户交互并在浏览器和服务器之间传输信息。例如，在Netscape的javascript和微软的Vbscript中都存在过bug。甚至在没有bug时，对一个有恶意的Web管理员来说，把能够突破保密措施或引起严重损失的脚本放在HTML主页中也是挺容易的。一种常见的攻击方式是创建一个javascript来欺骗性的产生一个错误信息或一个提示来要求用户提供网络登录ID和口令。其他的客户风险来自于隐私的侵犯。许多Web站点为客户写了一个验证cookie,cookie可以跟踪用户并暴露他们去了什么站点。按照指定cookie处理的RFC的要求，客户软件应提供一种方式来指明cookie应该或不应该被保存的域。&
3．传输安全&
&&&&在Web客户机和Web服务器之间传输的信息可能在连接的任一端或中间任何地方被窃听或截取，包括客户机的LAN、服务器的LAN、客户机的ISP、服务器的ISP、两个ISP之间的任何中介网络。&
&&&&幸运的是，目前IPSec(IP协议安全体系结构)的提出，使得网络通信可以通过在IP层进行认证和加密。但是目前还没有普及。&
四、保护Web服务器的安全&
1．选择安全的服务器软件&
&&&&在Linux上有很多的httpd服务器软件。例如：&
*&America&Online&Inc.&AOLserver2.x&
*&Allegro&Software&RomPager&2.x&
*&Apache&Group&Apache1.x&
*&Hawkeye&Project&Hawkeye&1.x.x&
*&Sun&Microsystems&Java&Server&1.x&
*&Idonex&AB&Roxen&1.x&
*&Spyglass&Spyglass&MicroServer&2.x&
*&Rapid&Logic&Inc.&WebControl&2.x&
*&IMatix&Xitami&2.x&
*&Zeus&Technology&Zeus&Web&Application&Server&3&
*&VqSoft&vqServer&1.x&
&&&&如果大家有兴趣，可以到有关的站点去访问，了解其性能和特点。在这些软件中，Apache无疑是最为成功的。在Internet上有超过一半的网站使用Apache。在Apache的最新版本中有以下安全特征：&
*&可以通过域名、IP地址、用户和分组来禁止访问&
*&可以配置用户分组（而不是单独一个用户列表）&
*&可以不重启服务器来修改用户访问控制列表&
*&CGI可执行程序能在拥有者的UID下执行&
*&基于目录文档的权限是分层的&
*&一个文档的一部分可以根据安全规则被隐藏&
*&支持SSL2.0和3.0&
*&有一个可用的口令机制&
*&可以基于URL制定安全规则&
2．服务器配置的一般规则&
&&&&通常，Web服务器应该把一些好的系统安全路径、配置和工具结合起来加强安全。例如：&
尽量让一个主机投入Web服务器之中，不允许无理由的交互式登录。删除Web管理员帐号之外的其他用户
从/etc/inetd.conf中禁止不需要的服务。如果站点需要ftp功能，那么让另外一台主机作为ftp服务器。其他服务应该被禁止或者限制，包括telnet、finger、netstat/systat、echo等等。
删除不需要的shell和解释器。如果不运行Perl&CGI脚本，就删除Perl
不支持自动列目录、符号链跟随和服务器端包含这样的选项
密切检测Web日志
应用安全的Web服务器软件，如支持Secure&Sockets&Layer(SSL)的软件
考虑在一个chroot环境中运行服务器
使用防火墙来控制对服务器的访问&
&&&&仔细规划谁能访问一个安全服务器上的内容目录是很重要的。多数Web服务器支持各种访问控制方式。通常可以把访问权限在指定的IP地址或DNS主机名中，或指定必须提供口令来采访特定目录的用户。如果一个Web服务器中有保密的公司信息，就需要采取措施保证资料在自己的手中。在一个服务器上使用CGI要格外小心。一个CGI程序可能在系统中做出任何事情，从向外部人员提供访问权限到删除重要文件。&
五、保护Web客户端的安全&
&&&&客户端软件通常是微软的IE，或是被微软挤压的netscape（还好在x-window下使用率比较高）,还有简单的lynx等等。&
1．好的客户端安全经验&
&&&&要认真考虑程序提供的安全设置，如果禁止了java和javascript，就会使浏览器更安全。应定期清理cache和cookie文件，避免去声誉不佳的站点以及使用“save”选项合为不可信的文件使用“open”选项。&
2．Mozilla&
&&&&1998年，netscape公司决定发行navigator的源代码，并创建一个单独的机构来监控它的发行与维护：Mozilla.org。我们如果有时间的话，分析它的源代码相信对我们提高客户端安全有很大好处。详见&
&&&&没有图片，没有声音的文本浏览器，我喜欢用它（在Linux下），但是注意，在缺省情况下不支持SSL。&
4．用户隐私&
&&&&有些站点要求用户在得到访问权之前必须登记。多数站点维护服务器日志，这有可能泄漏敏感信息，包括IP地址、ISP、前一个访问的站点等等。其他站点把cookie推到管道中以便在以后关联用户访问的站点。&
用户可以遵循下面的规则：&
不要求用户登记
只收集用户的电子邮件地址而不是完整的联系信息
不要与第三方共享电子邮件地址
不要使Web上的日志文件可以被访问
当日志文件不再需要时删除他们&
&&&&目前，World&Wide&Web&Consortium已经开始指定称为Platform&for&Privacy&Preferences的声明，允许用户根据自己的意愿来控制身份信息的公布。不过，对我们国家不使用。&
六、保护传输安全&
&&&&从用户的观点来看，Web浏览可能危害隐私。它允许TCP/IP在两台机器之间提供一个匿名的数据流，但它不提供保密性、完整性和认证服务。有几个方案能为TCP/IP添加一个安全层，包括Secure&Shell(SSH)和Microsoft的PCT。目前Secure&Sockets&Layer（SSL）占优势。&
&&&&SSL是netscape用来在应用协议（如http、telnet、nntp或者ftp）和更低的TCP/IP层之间提供数据安全的协议。他提供三种基本的安全特征：&
保密性&保密是通过对进程加密来实现的。根据连接双方的秘密协商，对称加密的密钥对每个连接都是唯一的
服务器认证&客户端要检查一个有效服务器的X.508v3证明，不论是一个RSA公开密钥证明，一个数字签名标准（DSS）证明，还是一个Diffie-Hellman证明。证明一般是由可信的证明代理发出的。
信息完整信&信息完整性（不被改动或者丢失）是由MAC（Message&Authentication&Code）保护的，它是一个根据信息和秘密数据进行计算的单项哈希函数。&
&&&&另外，SSL提供一个可选的客户端认证。SSL的其他功能以及特殊的服务器认证被广泛应用于电子商务。虽然不同的Web浏览器以不同的方式指明一个安全的SSL连接，但是以“https://”开始的URL指明在客户端和服务器之间已经建立了一个安全的连接。&
&&&&TLS(Transport&Layer&Security)是由Transport&Layer&Security&Working&Group起草的，产生了一个RFC文档。&
&&&&TLS用来建立一个安全的“会话”——它是一个客户机和一个服务器之间的关联，用来避免进行昂贵的协商来为每个新的安全参数建立一个额外的连接。该协议分为上层的TLS&Handshake协议和下层的TLS&Record协议。TLS&Handshake协议为一个安全的会话建立加密参数。当使用TLS的客户端和服务器建立通信时，他们对协议版本达成一致，选择加密算法，还可以互相进行认证，并使用公开密钥加密技术来产生共享的秘密。&
3．建立一个TLS/SSL服务器&
&&&&多数商用Web服务器产品的使用SSL。SSLeay使用了几个加密算法，某些可能要求商业许可证。SSLeay实现了5个不同的算法：DES、RSA、RC4、IDEA和Blowfish。RSA的专利属于美国。使用它是需要许可证的。&
&&&SSLeay和OpenSSL都可以集成到Apache&Web服务器中。程序员Ben&Laurie开发了一个Apache-SSL包，为Apache提供一组补丁程序、一些额外的源代码、一些帮助文件和配置文件实例。补丁程序需要用在Apache源代码中，其结果与SSLeay或OpenSSL编译并链接。&
&&&&可以从下面的站点下载：&
&&&&如果双方都知道另一方使用TLS/SSL，那么可以使任何运行在任一端口上的基于TCP地协议得到透明的安全。但是由于实际原因，为每个使用TLS/SSL保护安全的协议保留了几个端口号，这样允许包过滤防火墙让这些安全传输通过。例如：&
名称&&&&端口号&&&描述&
Nsiiops&261/tcp&&Iiop名字服务&
https&&&443/tcp&&http协议&
Ddm-ssl&448/tcp&&DDM-SSL&
Smtps&&&465/tcp&&Smtp协议&
Nntps&&&563/tcp&&nntp协议&
Sshell&&614/tcp&&SSLshell&
Ldaps&&&636/tcp&&Ldap协议&
ftp-data&989/tcp&&ftp协议和数据&
Ftps&&&&990/tcp&&&ftp控制&
Telnets&992/tcp&&&telnet协议&
Imaps&&&993/tcp&&&Imap4协议&
Ircs&&&&994/tcp&&&Irc协议&
Pop3s&&&995/tcp&&&Pop3协议&
&&&&大多数Web服务器被设计成是由超级用户启动的。服务器必须作为root运行，使他能监视端口80。一旦服务器开始运行，它要改变它的UID中规定在配置文件中的用户名。不要像root那样运行你的服务器，虽然你的服务器必须用root启动，http.conf文件中一定不要包括user&root行。如果这样，你的Web服务器执行的每个脚本都将作为超级用户运行，产生许多潜在地问题。&
&&&&要当心把http和匿名ftp混合。许多站点用相同的目录来存储通过匿名ftp和通过网站访问的文档。例如，你可能有一个名为/netDocs的目录，他既是你的ftp用户的主目录又是你的Web服务器的根目录。这就允许把文件归到两类URLS,例如或者。在ftp上的http的主要优点是速度快、效率高。但是混合出现了各种安全问题：&
允许匿名ftp访问http目录，给用户提供了在任何Web服务器上限制对文件的访问的办法。因此，如果在你的Web服务器上有机密文件长久使用这个办法，可能失去文件的机密性。
如果一个攻击者能下载你的CGI脚本，他可以搜索出攻击的路径。
你必须完全的确保ftp用户无法上载一个能在你的服务器上运行的脚本
显示给你的/etc/passwd文件也可能被用WWW服务的人见到，从而导致它的内容受破坏。&
&&&&另外，还有一些注意事项：&
删除不必要的用户（前面提到过）
不要安放NFS或输出任何目录
删除所有的编译程序&
删除所有的不是用作引导或者Web服务器的实用程序
提供尽可能少的网络服务（再次重申）
不要运行邮件服务器&
&&&&如果想知道更多关于HTTP/WWW的安全知识，请访问&
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具君，已阅读到文档的结尾了呢~~
基于SNMPWeb管理的嵌入式Web服务器的研究与实现
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
基于SNMPWeb管理的嵌入式Web服务器的研究与实现
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口TP猫中8620增强型复位后显示 Protected Object This object on the RomPager server is protected怎么办？_百度知道}