1. 如何在web.xml安全WebSocket連接
說明
步驟 1: 使用 wss: URI 案謹鍵
WebSocket 協議定義兩種 URI 案ws: 用於未加密連接wss: 用於應加密安全連接
要加密連接請使清行用 wss: URI 案例:
JavaScript
var webSocket = new Windows.Networking.Sockets.MessageWebSocket();
webSocket.connectAsync("wss://"祥正巧).done(function() {
// connect succeeded
}, function(e) {
// connect failed
});
備注
關 WebSocket URI 案其詳細信息請參閱 WebSocket 協議
2. 企業應用的Web服務安全技術:框架(圖)
本文是討論如何在企業環境中實現和應用基於Web服務安全技術的安全保護方案系列文章的第 部分 在本系列的第 部分中棗悄回顧了現有的解決方案及其缺陷 並提出開發一個新的Web服務安全工具包的方案 此工具包可以解決其中部分缺陷(見第一部分) 本文將進一步介紹此Web服務安全工具包的框架(下載部分源代碼) 並解釋工具包內Web服務安全的特性與Java語言的面向對象特性之間的高層抽象映射關系 客戶端 第一部分中工具包需求部分指出 開發工具包的目的之一是簡化客戶在當前的開發環境下處理Web服務安全的工作 這些工作應該移至框架層 以便框架層最終將這些工作代理到底層基礎設施——真正應該處理這些工作的地液岩昌方 因此 在討論工具包的結構以及工具包內實體與WSSE相關標准之間的關系前 讓我們將工具包視為一個黑盒子 從客戶的角度來體驗一下(如何使用工具包) WsseHeaderToken wsseHeader = new WsseHeaderToken();// Add Timestamp element to the WSSE Header添加時間戳元素TsToken ts = wsseHeader AddTimestamp( );// Sign the timestamp element with default certificate使用預設證書對時間戳元素簽名WsToken[] sigTokens = new WsToken[] {ts};wsseHeader AddSignature(sigTokens);// Encrypt the signature and body elements with default key 使用預設的密鑰加密簽名及主體中元素WsTokenRef[] encTokens = new WsTokenRef[]{ new DSigTokenRef() new SoapBodyRef() };wsseHeader AddEncryption(encTokens);wsseHeader ProcessHeader();Element soap = wsseHeader GetSoapEnvelope();這個簡單示例構造了一個包含時間戳子元素的Web服務安全(以下簡記為WSSE)頭部元素 並從配置文件中獲取XML簽名提供者的信息 使用相應XML簽名提供者工具對時間戳元素簽名 進而使用配置的XML加密提供者對安全頭部中的簽名元素和時間戳元素進行加密 XML文件解析具有過程化的本質 這將帶來處理WSSE XML信息的困難 導致混亂復雜相互糾纏的代碼 工具包中實現了復雜安全規范的代碼 試圖將安全領域的過程化規則映射到面向對象領域的對應部分 包中代表WSSE元素的類 隔離了XML解析過程 創建了處理XML代碼的面向對象的包裝器 工具包提供的WsseHeaderToken類 對一些功能進行了便於使用的封裝 這樣可以使得客戶與框架的復雜性隔離 如果有必要 客戶也可以在代碼內直接創建和訪問工具包內的其他類 例如 當現有幫助類未提供處理某種類型的元素的功能時 可以創建相應的處理器對象進行處理 並將處理結果添加到頭部安全信息中 在下面代碼中使用一個示例處理器和示例標記 演示了如何從WSSE信息頭部拷貝標鬧扒記元素到另一個WSSE信息頭部// Reference and read WSSE header with null actor使用null操作器引用和讀取WSSE 頭部WsseHeaderRef ref = WsseHeaderRef CreateFromFile(filename null);WsseHeaderToken wsseHeader = ref GetWsseHeader();// Reference a sample element in the retrieved header引用已讀取頭部包含的一個示例元素SampleTokenRef sampleRef = new SampleTokenRef(wsseHeader sample );SampleToken sample = sampleRef GetSampleToken();// Create a new WSSE header and add the element生成新的安全頭部信息並添加元素WsseHeaderToken wsseNew = new WsseHeaderToken();wsseNew InsertToken(sample);// Add sample element s processing in the new WSSE header在生成的頭部中處理示例元素SampleProcessor sampleProcessor = new SampleProcessor();sampleProcessor SetReplaceTokens(true);sampleProcessor AddToken(sample);wsseNew AddProcessor(sampleProcessor);wsseNew ProcessHeader();Element soap = wsseNew GetSoapEnvelope(); 框架 框架的結構層次很大程度上可以對應到WSSE規范描述的XML定義塊上 工具包包含如下類型的對象 ·表示WSSE 頭部的XML元素 也可以由子元素合成組合元素(piste) 如果擁有用於生成標記的充足信息 那麼可以從頭開始構建WSSE標記 又或已經從其他WSSE頭部提取出(如SAML斷言等)必要的XML元素 那麼可以通過封裝來創建 WSSE標記在工具包內的基類分別為位於wsse Toolkit Tokens包內的WsToken類以及WsCompisteToken類·標記對象的 指針 通過它們可以對現有的安全標記進行定址和讀取操作 更一般的作用是作為一種機制 方便客戶指向現有的XML元素並將XML元素轉化為標記對象 標記引用類層次的基類是位於wsse Toolkit Refs包內的WsTokenRef類·標記處理器對象 表示工具包內的操作的對象 可以通過它們對WSSE頭部 頭部內任何子元素以及包含的SOAP信息進行操作 現在的工具包內僅有 個處理器類 DsigProcessor類以及EncProcessor類 通過它們可以在WSSE頭部中添加新的標記和(或者)改變已有標記 實際上 改動/添加標記的特性並不是處理器的必然需求 非改寫的處理器類型也是可能出現的 這樣的意圖在wsse Toolkit Processors包內的處理器類型介面ITokenProcessor中得到體現 它的函數簽名設計可以避免引入更多的標記類型 ·幫助類對象 wsse Toolkit Utils包內的許多幫助類 可以便於客戶進行配置信息處理 XML處理等任務 還有wsse Toolkit Saml包用於支持SAML操作 wsse Toolkit Directory包用於支持用戶目錄操作 所有這些工具類本身不表示WSSE頭部的任何部分 僅供工具包的其它組件使用 ·輔助包裝器對象 此類對象將標記對象和處理器對象封裝起來 組成WSSE安全頭部的構建器 同時強調標記所有權概念 增強標記處理功能 現在工具包內 擴展的標記類WsseHeaderToken 不僅實現了標記對象介面 同時定義了一些便利方法 可以實例化工具包中的類並添加這些對象到本身表示的標記對象中 當然 如果需要 客戶可以自由的直接操作工具包中的對象 需要提到的是 並不是所有對象都是立即可得的 它們會隨著工具包實現階段的不斷展開 在後續的文章中被依次介紹並添加到工具包中來(參見第一部分的結論部分)如下 圖 顯示了工具包框架中各種對象以及客戶間的關系 圖 工具包的操作 為了更好的理解圖 需要對工具包操作的幾個重點概念進行進一步的解釋 ·不是所有的標記元素都可以從現有XML元素生成 例如 重用現有時間戳元素(wsse Toolkit Tokens Wss TsToken標記)來構建新的標記 沒有什麼實際意義——實際上 需要時應該從頭構建並相應添加新標記·可從現有XML元素創建的標記類 具有唯一參數類型為 w c dom Element的構造函數 此構造函數會對輸入的XML數據進行淺層次的數據有效性驗證 所有情況下 必須正確地維護用於構建新標記XML元素的 w c dom Document對象 不合適的文檔對象會在添加元素時產生錯誤 標記類基類WsToken類 WsConpositeToken類以及幫助類WsTokenHelper具有處理XML文檔的功能 ·雖然標記引用類型也都是從基類wsse Toolkit Tokens WsToken派生的 但是大多數引用類型的作用是引用現存的XML元素 不是作為本身可以被添加的元素 不過 在下面的WSSE映射部分會提到一些特殊的標記引用類型 除具有引用元素功能外 本身也可以作為被添加的元素 ·標記引用類型可以引用不同的安全信息頭部中的標記元素——此功能有助於在新的WSSE頭部中添加現有標記元素的功能的實現 標記引用類型甚至可以引用在安全處理過程的初期添加的當前不存在的元素 比如前面代碼示例中加密簽名元素構成的元素 ·標記幫助類的責任是實例化標記類型對象和標記處理器對象 並將二者聯系起來處理 當然這需要適當的配置信息以及初始化工作 標記處理器類型的責任是操作標記幫助類的處理結果 比如在安全頭部中添加一個新產生的數字簽名元素 處理器介面的要約是僅對引用標記進行適當的處理 並不對此處理過程中產生的新標記進行任何操作 ·處理操作可以連接起來構成處理操作鏈 這樣 可以對多個安全頭部的入口簽名 然後對簽名加密 如上面客戶處代碼示例 工具包提供了輕量的對象層次 處理每次客戶調用時 會實例化一些具有僅於自己上下文環境關聯的對象 因此不必擔心並發問題 工具包中大多數類沒有提供同步化鎖 只有wsse Toolkit Utils Xml XmlFactory 類和 wsse Toolkit Utils Config ConfigHelper類除外 這兩個類提供了一些可以被多個線程共享的功能 對於配置的目錄服務和SAML服務實現提供者來說 由於工具包的所有運行客戶都訪問相同的提供者 它們的實現必須是線程安全的 WSSE映射 現在 將要討論工具包內的組件是如何與WSSE規范規定的主要構建塊的映射關系 注意 WSSE 規范的第 部分對<wsse:Security>頭部塊是這樣定義的 <wsse:Security>頭部塊以SOAP行動者或角色的形式存在 提供在在SOAP信息中添加針對特定接收者的安全相關信息的機制 這意味著 WSSE安全頭部是可以擴展的 同時在所有可能使用此技術的應用中試圖使用它是不合適的 因此 工具包框架僅對規范中規定的標記類型及其關系進行映射 同時可以在以後添加新的標記類型及其處理器 <im lishixin/Article/program/Java/gj/201311/27426
3. WEB伺服器的安全
盜用賬號、緩沖區溢出以及執行任意命令是Web伺服器比較常見的安全漏洞。黑客攻擊、蠕蟲病毒以及木馬是網際網路比較常見的安全漏洞。口令攻擊、拒絕服務攻擊以及IP欺騙是黑客攻擊比較常見的類型。隨著網路技術的不斷發展,Web伺服器面臨著許多安全威脅,直接影響到Web伺服器的安全。因此,加強Web伺服器的安全防護是一項迫切需要的解決的時代課題。筆者結合多年的工作實踐,認為可從以下3個方面入手來加強Web伺服器的安全防護。第一,加強Web伺服器的安全設置。以Linux為操作平台的Web伺服器的安全設置策略,能夠有效降低伺服器的安全隱患,以確保Web伺服器的安全性,主要包括:登錄有戶名與密碼的安全設置、系統口令的安全設置、BIOS的安全設置、使用SSL通信協議、命令存儲的修改設置、隱藏系統信息、啟用日誌記錄功能以及設置Web伺服器有關目錄的許可權等[3]。第二,加強互聯網的安全防範。Web伺服器需要對外提供服務,它既有域名又有公網的網址,顯然存在一些安全隱患。所以,可給予Web伺服器分配私有的地址,並且運用防火牆來做NAT可將其進行隱藏;同時因為一些攻擊來源於內網的攻擊,比如把內網計算機和Web伺服器存放在相同的區域網之內,則在一定程度上會增加很多安全隱患,所以必須把它劃分為不同的虛擬區域網,運用防火牆的地址轉換來提供相互間的訪問,這樣就大大提高了Web伺服器的安全性和可靠性;把Web伺服器連接至防火牆的DMZ埠,將不適宜對外公布的重要信息的伺服器放於內部網路,進而在提供對外的服務的同時,可以最大限度地保護好內部網路[4]。第三,網路管理員要不斷加強網路日常安全的維護與管理。要對管理員用戶名與密碼定期修改;要對Web伺服器系統的新增用戶情況進行定時核對,並且需要認真仔細了解網路用戶的各種功能;要及時給予更新Web伺服器系統的殺毒軟體以及病毒庫,必要時可針對比較特殊的病毒給予安裝專門殺毒的程序,同時要定期查殺Web伺服器的系統病毒,定期查看CPU的正常工作使用狀態、後台工作進程以及應用程序,假若發現異常情況需要及時給予妥當處理[5];因為很多木馬與病毒均是運用系統漏洞來進行攻擊的,所以需要不斷自動更新Web伺服器系統,以及定期掃描Web伺服器系統的漏洞。
Web伺服器已經成為了病毒、木馬的重災區。不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,Web安全要主動出擊。 已經檢查過網線。也試過了ping伺服器,依舊無法訪問伺服器。好消息是,已經可以將問題定位到物理伺服器或操作系統本身了。換句話說,已經可以開始集中經理對現存的問題進行排查。
接下來,才去從底層到高層的方式來逐層檢查問題,首先檢查網路介面和本地網路配置是否正常。DHCP是否啟動?Web伺服器是否指向正確的DNS伺服器?如果是這樣,可以根據使用的操作系統平台,檢查Web服務是否正常開啟。在Windows環境,需要檢查伺服器是否具有Web服務的角色。在Linux環境下,檢查會更復雜,可以試試查找http相關的文件或服務來確保伺服器是否正在運行。 如果以上方法都不奏效,檢查日誌並嘗試查明在Web伺服器宕機時日誌中記錄的那些信息。將這些信息發給在故障處理和解決領域更有經驗的專業人士,可能會獲得更多的幫助。同樣的,如果已經確認網路連接不是問題,就可以使用Wireshark抓包工具對網路中傳輸的數據進行抓取分析,以此協助處理問題。
總而言之,伺服器宕機的原因多種多樣。斷電、配置錯誤、防火牆設置錯誤、甚至是來自互聯網的惡意流量,都可能引發源站宕機並讓系統管理員們抓狂。所有這些問題都足以讓企業決策者對冗餘解決方案的設計和實施加以重視,同樣的針對故障處理流程的設計和制定,還需要根據企業自身網路的實際情況為依據。
4. 要想實現web應用安全有哪些防禦措施呢
傳統的方式目前已經存在了一些不足,比如對http流量或者https流量進行檢測,並不能夠完全解決用戶應用層或者Web層的安全問題。同時,要想實現web應用安全並不需要只是簡單的基於協議本身進行防禦,而更多的是要基於邏輯、基於行為、基於流程進行防禦。我比較推薦的是F5公司的產品,不僅能夠解決傳統WAF要解決的XSS,SQL注入這樣的代碼及漏洞,還能關注到像暴庫、爆破,像利用被偷盜的用戶憑證進行登陸的這樣的行為,包括對七層DDoS進行防禦的行為。最重要的是,F5的防禦方案從原來基於網路串聯部署的設備,基於協議本身的分析,要變得更加智能,要變得更加的具有控制力。關於web應用安全,F5官網上有更為詳細的介紹,不妨多關注一下。
5. Nginx配置之WSS
關於 WebSocket ,維基網路是這樣介紹的:
WebSocket 協議在2008年誕生,2011年成為國際標准,現在幾乎所有瀏覽器都已經支持了。它的最大特點就是,伺服器可以主動向客戶端推送信息,客戶端也可以主動向伺服器發送信息,是真正的雙向平等對話,屬於伺服器推送技術的一種。
簡單來說, WebSocket 減少了客戶端與伺服器局掘端建立連接的次數,減輕了伺服器資源的開銷,只需要完成一次 HTTP 握手。整個通訊過程是建立在一次連接/狀態中,也就避免了 HTTP 的非狀態性,服務端會一直與客戶端保持連接,直到頃碼雙方發起關閉請求,同時由原本的客戶端主動詢問,轉換雀臘哪為伺服器有信息的時候推送。所以,它能做實時通信(聊天室、直播間等),其他特點還包括:
現象描述: 在 https 協議下訪問網站時,客戶端瀏覽器控制面板異常信息:
這種情況,毫無疑問我們就需要使用 wss:// 安全協議了,需要將客戶端瀏覽器獲取的頁面中 webscoket 的形式由 ws:// 改為 wss://
WebSocket 可以使用 ws 或 wss 來作為 統一資源標志符 ,類似於 HTTP 或 HTTPS 。其中 , wss 表示在 TLS 之上的 WebSocket ,相當於 HTTPS 。默認情況下, WebSocket 的 ws 協議基於 Http 的 80 埠;當運行在 TLS 之上時, wss 協議默認是基於 Http 的 443 埠。說白了, wss 就是 ws 基於 SSL 的安全傳輸,與 HTTPS 一樣樣的道理。所以,如果你的網站是 HTTPS 協議的,那你就不能使用 ws:// 了,瀏覽器會 block 掉連接,和 HTTPS 下不允許 HTTP 請求一樣。
6. web的安全威脅有哪幾個方面
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)、網路埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
這只是大概說了一下,關於WEB應用伺服器的安全從來都不是一個獨立存在的問題。
web常見的幾個漏洞
1. SQL注入。SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。
2. XSS跨站點腳本。XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
3. 緩沖區溢出。緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候,因為沒有足夠的空間就會發生緩沖區溢出的現象。
4. cookies修改。即使 Cookie 被竊取,卻因 Cookie 被隨機更新,且內容無規律性,攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。
5. 上傳漏洞。這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。
6. 命令行輸入。就是webshell ,拿到了許可權的黑客可以肆意妄為。
7. WEB伺服器安全目前主要存在哪些問題如何增強web伺服器的安全
伺服器安全防護軟體可以使用伺服器數據保護鎖--MCK,是通過安全容器接管操作系統,讓應用在容器內運行,數據保存在容器內,容器內通過鏡像技術,實行工作場景白名單機制,並對核心數據進行加密保護,實現伺服器的最後一米安全----即使攻進來,什麼也做不了。
對外可防止木馬病毒入侵,防止核心數據被偷窺、被破壞、被篡改、被偷走!
對內可以對運維人員進行運維行為審計。