4 加强Web服务器的安全 

　　Web服务器的安全受到二个层面的威胁。一方面是操作系统本身的漏洞，非法入侵者可以这些漏洞进行攻击，甚至会利用这些漏洞绕过操作系统直接获取到数据库文件和程序源码。另一方面是指搭建Web服务器的工具软件自身存在的安全漏洞。 

　　4.1 操作系统是一切应用软件的基础

　　操作系统是一切应用软件的基础，其安全对应用软件至关重要，加强操作系统安全主要需要从制定安全策略和加强账户管理入手；（1）对账户口令设置要使用安全强壮密码，避免使用规则性单词和昵称、生日等，多使用一些非字母的特殊符号等；（2）删除不必要的操作系统账户；（3）给操作系统管理员Administrator改个名字，并创建陷阱用户，增加非法入侵破解难度；（4）关闭不需要的系统服务；（5）及时安装系统补丁；（6）安装防火墙和杀毒软件；（7）开启系统事件日志，日志可以记录非法入侵者的行踪，系统维护员可以根据这些行踪了解分析其做过什么，留了什么后门，给系统会造成什么破坏及隐患，帮助系统管理员有针对性地实施维护。 

　　4.2 在Web服务器的软件平台上应用。 

　　Web应用程序是在Web服务器的软件平台上应用的，我们经常使用的IIS或者Apache软件，也存在安全漏洞，容易受到攻击和利用。主要漏洞有几种。 

　　（1）物理路径泄露。一般是由于Web服务器处理用户请求出错导致的，例如入侵者通过提交一个超长的请求，或者是某个精心构造的特殊请求，或是请求一个Web服务器上不存在的文件。建议安装Web服务器时更改默认路径，不要安装在系统盘。 

　　（2）目录遍历。通过对任意目录附加“../”，或者是在有特殊意义的目录附加“../”，或者是附加“../”的一些变形，如“..＼”或“..//”甚至其编码，都可能导致目录遍历。 

　　（3）执行任意操作系统命令。主要包括两种情况。一是通过遍历目录，来执行系统命令。另外一种就是Web服务器把用户提交的请求作为SSI指令解析，因此导致执行任意命令。

　　（4）缓冲区溢出。缓冲区溢出漏洞是Web服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。 

　　（5）拒绝服务。拒绝服务产生的原因多种多样，主要包括特殊的目录，超长的URL，超长的HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。由于Web服务器无法处理这些特殊请求或者是处理方式不当，就会出错终止或挂起任务。 

　　（6）解析漏洞。利用各个Web服务器对文件解析的错误植入木马或展开攻击，如：Apache服务器会将*.php.*1.*2.*3解析为PHP文件，IIS？7.0/IIS？7.5在默认Fast-CGI开启状况下，在一个文件路径（/*.jpg）后面加上/*.php会将/*.jpg/*.php解析为php文件等。 

　　5 结束语 

　　互联网技术的发展、计算机的普及，催生了各种Web应用系统的越来越广泛的使用，Web应用系统安全性问题越来越受到重视，本文就Web系统安全方面存在的问题从Web应用程序、Web数据库和Web服务器等三个方面进行了分析和探讨。 

　　参考文献 

　　[1] 马玉芳.浅析Web服务器安全策略[J].信息安全与技术，2014（6） 

　　[2] 王重英，李艳，卢琼.基于Web架构模式的安全性能分析与研究[J].信息技术，2014（9）. 

　　[3] 谭前进，赵前程.Web系统安全威胁研究[J].洛阳师范学院学报，2014（2）.