[摘要] 搜索软件有渗透到internet每一个角落的趋势。搜索软件自身的漏洞已逐渐成为病毒和黑客窥视的焦点,对网站、局域网安全构成严重的威胁。本文在分析这些漏洞产生的技术原因的基础上,重点探讨应对这些安全漏洞的常规和非常规防范策略。
[关键词] 网站安全安全防范搜索软件局域网
一、引言
网络用户为了能很容易在浩如烟海的网页中搜索到自己想要的网址、文档、程序等,频繁地使用搜索软件。搜索软件(robot或称spider)作为一个程序,可以运行在unix、solaris、windows、nt、os2和mac等平台上,其核心技术为机器程序抓取网页。这种软件自动搜集和索引系统,由软件程序自动在internet上搜寻/dianzijixie/">电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。同时因为robot一般都运行在速度快、带宽高的主机上,如果它快速访问一个速度比较慢的目标站点,就有可能会导致该站点出现阻塞甚至停机,更为严重的是搜索软件对网络资源的搜索已逐渐成为病毒和黑客窥视的焦点,对网站、局域网安全构成严重的威胁。
值得注意的是:搜索软件对网络的访问在主观上并非都是恶意的,有些甚至是被允许的。
二、搜索软件主要的安全漏洞
1.搜索软件被作为匿名代理。像a1tavista、hotbot等搜索软件能无意识地响应使用者的命令,把一些合乎搜索条件的网页传递给使用者,一般黑客就是利用这一点,利用嵌套技术,层层使用网络代理,通过搜索软件搜索有缺陷的网站并入侵。Www.11665.cOm同时,网络上存在大量的诸如等网站专门提供匿名代理服务,这极大地方便了黑客,他们只需要几行简单的网页查询语句就能得到一些装有微软信息服务器((iis)3.0和4.0但配置不当的电脑上的boot.in:文件。
2.搜索软件被作为病毒查找攻击对象的工具。例如,santy蠕虫病毒的爆发最初发生在一周前,这一蠕虫病毒能够删除bbs论坛上的内容,在上面“涂鸦”它自己的内容。据安全公司表示,该病毒攻击的对象是运行phpbb软件的论坛网站,而且就是利用google查找攻击目标。在google公司采取措施对santy蠕虫病毒对存在有漏洞的bbs论坛网站的查找进行查杀之后,santy蠕虫病毒的变种正在利用google、aol和雅虎等搜索软件进行大肆传播。
3.google批量黑客搜索攻击技术。事实证明使用google搜索软件可以让普通人做一次黑客,其原理很简单,很多有特定漏洞的网站都有类似的标志页面,而这些页面如果被google索引到,我们就可以通过搜索指定的单词来找到某些有指定漏洞的网站。例如frontpage extensions是微软iis上的一个产品,但是其netscape版本中的口令文件的访问权限设置有错误,黑客取得这些口令文件后,使用暴力破解工具就有可能获取一些弱用户账号口令。利用搜索软件搜索一下这个ext:pwd inurl:(service | authors | administrators | users):“# -frontpage-”,可以发现有128个口令文件可供下载。
4.搜索软件被利用查找有缺陷的系统。一般黑客入侵的标准程序是首先寻找易受攻击的目标,接着再收集一些目标的信息,最后发起攻击。一般来说,新开通网络服务的主机容易成为攻击目标,因为这些主机最有可能没有很好的防范措施,如安全补丁、安装及时更新的防火墙等。那么搜索软件是怎么成为黑客人侵的工具的呢了?一般来说,装有网络服务的操作系统如linux和windows通常把管理帮助文件和html配置文件放在网络服务的一些标准目录。当搜索软件搜索到这些文件时就会列出来,于是黑客知道这个系统可能是没有很好防范的系统而把它当作攻击目标。比如某个流行的网络产品有漏洞,那么就搜索这个产品的相同的字符串,比如某天phpbb论坛系统出现一个漏洞,那么我们就使用google搜索“powered by phpbb”,就可以搜索出几乎所有使用phpbb系统的论坛。
5.搜索软件能用来搜索秘密文件。搜索软件中的ftp搜索软件,与http搜索软件相比,存在着更大的网络漏洞。诸如lycosftp的搜索软件,它产生的成千上万的网络链接能够探测到一些配置不当的ftp服务器上的敏感信息。任何网络使用者,稍懂网络知识,使用这种搜索软件,都可以链接到一些保密的数据和信息,更不用说一些资深的黑客了。并且,一些随意的fip设置很容易暴露cuteftp的smdata.dat文件和netscape enterprise server的admpw文件,这些文件都是一些很容易被破译的加密器加密了的密码文件。若用ftp搜索软件搜索出smdata.dat或admpw文件,那么,登陆该etp服务器的用户名和密码就唾手可得了。至于窃取ftp服务器上放置的保密文件对于黑客来说就更是如探囊取物了。
6.黑客利用桌面搜索攻击个人计算机。近来金山公司发现一种名为“google desktop”的工具能够让使用者很轻易地找到机器当中的私人信息。同时,这个搜索工具还可以搜出系统隐藏的文件,如果利用这个搜索工具就能轻易地修改掉系统文件,而在隐藏文件暴露的情况下,非常容易受到攻击,而且病毒会利用操作系统漏洞进行攻击。所以用户在qq、msn聊天时,或者利用电子邮件收发时,个人信息会存在缓存当中,利用这一搜索会轻易搜索到网页的记录。如果有用户在公共场合通过web方式接收邮件,个人隐私会存留在缓存中,通过使用这个工具,输入了某些关键字,会造成使用者轻易搜到相关信息。专家提醒广大用户,不要在公共场所使用这个工具,特别是在网吧,以免造成信息泄露。
三、局域网的信息安全
如果企业内部网络,甚至个人电脑的硬盘都在可搜索之列,那么如何保证信息的安全呢?由于缺乏自主技术支撑,cpu芯片、操作系统和数据库、网关软件大多依赖进口,使我国计算机网络的安全性能大大降低。尤其是企业内部网的信息安全将成为问题的焦点。
影响局域网信息安全的因素主要有:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。
1.常规策略:访问控制。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。
(1)入网访问控制。它是第一层访问控制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。这样的访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。
(2)网络的权限控制。这是针对网络非法操作所提出的一种安全保护措施。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为其两种实现方式。
(3)目录级安全控制。控制用户对目录、文件、设备的访问,或可进一步指定对目录下的子目录和文件的权限。
(4)属性安全控制。应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
(5)网络服务器安全控制。包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制。服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应有一定的报警方式。同时应能自动记录企图尝试进入网络的对象和次数,并设置阈值以自动锁定和驱逐非法访问的账户。
(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。
2.非常规却有时更有效的安全策略和技术
(1)屏蔽cookie程序。cookie是web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息,因此有可能被入侵者利用,造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受cookie之前提醒您,或者干脆拒绝它们。通常来说,cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多cookie会一反常态,始终存储在硬盘中收集用户的相关信息。
(2)屏蔽activex控件。由于activex控件可以被嵌入到html页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明,在客户端的浏览器中,如ie中插入某些activex控件,也将直接对服务器端造成意想不到的安全威胁。同时,一些其他技术,如内嵌于ie的vb script语言,用这种语言生成的客户端可执行的程序模块,也同 java小程序一样,有可能给客户端带来安全性能上的漏洞。此外,还有一些新技术,如asp(active server pages)技术,由于用户可以为asp的输出随意增加客户脚本、activex控件和动态html,因此在asp脚本中同样也都存在着一定的安全隐患。
(3)定期清除缓存、历史记录,以及临时文件夹中的内容。我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率。但是浏览器的缓存、历史记录,以及临时文件夹中的内容保留了我们太多的上网的记录,这些记录一旦被那些无聊的人得到,他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。
(4)内部网络系统的密码要定期修改。由于许多入侵者利用穷举法来破解密码,像john这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。
(5)不要使用“mydocuments”文件夹存放word、excel文件。word、excel默认的文件存放路径是根目录下的“mydocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标识,所以为安全起见应把工作路径改成别的目录,并且层次越深越好,比如:c:\abc\def\ghi\jkl。
参考文献:
[1]张晔等:asp网站漏洞解析及防范.中国信息导报,2006-11-2
[2]刘向东:从各种弊端来看网站服务器问题.计算机信息处, 2005-09
