4,450
社区成员
发帖
与我相关
我的任务
分享我用漏洞扫描软件扫描我们的应用服务器,这样应该不会有安全问题了吧?
我用最流行的漏洞扫描软件扫描我们的应用服务器,这样应该不会有安全问题了吧?
...全文
请发表友善的回复…
发表回复
ftai08 2008-06-02
- 打赏
- 举报
所谓应用服务器,是提供应用程序服务的服务器程序,是进程的组合,启动就有进程运行。
它接受客户端程序(可能是定制的,也可能是IE类型的浏览器)的要求,对应用服务器按照规范实现的功能,下所控制的资源进行授权访问。
这种模型,有几部分:
1、客户端,或者漏洞攻击者。
2、符合信息理论设计要求的信道,或称网络路径、路由。
3、应用服务器软硬件体系。
4、服务器(硬件)端的安全体系。
回到题目:
所谓漏洞,就是那些不允许而未被控制禁止的访问控制途径。
1、应用服务器控制资源的访问控制体系可能有问题。前提是,允许某种对应用服务器的访问,或者假设,对服务器的任何访问都被允许。
2、协议由协议处理机分析、处理。协议数据包在服务器(可能除应用服务器之外还有其它的服务器程序)进行缓冲、排队,由协议处理机分析和处理。
由于协议处理机在许多工程应用中,不一定进行过安全性验证,而且是人来编程的,并且它的需求说明书内容是可以分析出来的,因此,协议处理机是最可能存在问题的地方之一。
3、应用服务器可能有多个,其它类型的服务器可能有多个,还有访问控制等其它类型的服务器端程序,它们都是通过工程实践上一般没有经过安全性验证、手工、没有形式化的编程实现的。
4、对取到的数据进行分析,可能获得很多信息。
5、极限测试有可能有用。
6、伪造协议有可能有用。
7、重点关注资源,一般来说,网络产生的原因是资源不对称性和通信,在分析服务器关于资源的问题上,有许多工作可以做。
它接受客户端程序(可能是定制的,也可能是IE类型的浏览器)的要求,对应用服务器按照规范实现的功能,下所控制的资源进行授权访问。
这种模型,有几部分:
1、客户端,或者漏洞攻击者。
2、符合信息理论设计要求的信道,或称网络路径、路由。
3、应用服务器软硬件体系。
4、服务器(硬件)端的安全体系。
回到题目:
所谓漏洞,就是那些不允许而未被控制禁止的访问控制途径。
1、应用服务器控制资源的访问控制体系可能有问题。前提是,允许某种对应用服务器的访问,或者假设,对服务器的任何访问都被允许。
2、协议由协议处理机分析、处理。协议数据包在服务器(可能除应用服务器之外还有其它的服务器程序)进行缓冲、排队,由协议处理机分析和处理。
由于协议处理机在许多工程应用中,不一定进行过安全性验证,而且是人来编程的,并且它的需求说明书内容是可以分析出来的,因此,协议处理机是最可能存在问题的地方之一。
3、应用服务器可能有多个,其它类型的服务器可能有多个,还有访问控制等其它类型的服务器端程序,它们都是通过工程实践上一般没有经过安全性验证、手工、没有形式化的编程实现的。
4、对取到的数据进行分析,可能获得很多信息。
5、极限测试有可能有用。
6、伪造协议有可能有用。
7、重点关注资源,一般来说,网络产生的原因是资源不对称性和通信,在分析服务器关于资源的问题上,有许多工作可以做。
