Bezpieczeństwo serwera HTTP

Serwer, który obsługuje tylko podstawowy protokół HTTP, nie stwarza większych zagrożeń dla bezpieczeństwa. Serwer HTTP bez żadnych rozszerzeń przyjmuje tylko żądania i zwraca pliki jedyną rzeczą, jaką zapisuje na dysku, są pliki dzienników. Tak więc, bez względu na to, jak złe intencje ma klient i jak źle napisany jest serwer, sam serwer HTTP jest narażony głównie na różne rodzaje blokady usług (serwer HTTP załamuje się, załamuje cały komputer, uniemożliwia korzystanie z komputera, wypełnia dysk…) oraz nieprzewidziane ujawnienie danych (klient prosi o plik, który chciałeś zachować dla siebie, ale serwer udostępnia go klientowi). Jeśli serwer jest napisany bardzo źle, może napastnik będzie mógł wykonywać dowolny kod z przywilejami serwera HTTP, jeśli zdoła doprowadzić do przepełnienia bufora. W prostym serwerze jest to mało prawdopodobne i łatwo się przed tym zabezpieczyć (wystarczy uruchomić serwer z konta bez specjalnych przywilejów, a jeśli nawet napastnik będzie mógł wykonywać polecenia, nie uzyska żadnych interesujących rezultatów).

Całkowite zabezpieczenie się przed blokadą usług jest praktycznie niemożliwe, ale dobrze napisany serwer HTTP będzie na nią względnie odporny. Zwykłe metody konfigurowania hostów bastionowych (patrz rozdział 1, „Hosty bastionowe”) również pomagają w zabezpieczaniu się przed blokadą usług i przywracaniu zwykłego funkcjonowania systemu. Dostępne publicznie witryny WWW to łatwo dostrzegalne cele, a ponieważ zużywają wiele zasobów nawet wtedy, gdy nie są atakowane, prawdopodobnie nie powinny działać wraz z innymi usługami w tym samym ho ście bastionowym.

Przypadkowe ujawnienie danych to problem, którego uniknięcie wy

Strony: 1 2

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>