布满的web服务器有怎么着?

Apache
HTTP服务器是世界上最常见的Web服务器软件,这点是明摆着的。据最近一项调查显示,全世界运行Apache
HTTP的网站数量超过4.2亿个。鉴于数字如此惊人,我们自然很好奇地想了解Apache背后的更多详情。

                                                            
作者:玄魂

WEB服务器也可以称为网站服务器,可以用来放置网站文件,供用户浏览。那么常见的WEB服务器有哪些呢?

我们Pingdom网站的人员都是Apache HTTP
Web服务器的拥趸,因为我们用它来运行我们的主网站Pingdom.com。所以我们逮住机会、兴致勃勃地采访William
A. Rowe
Jr.也就不足为奇了,前不久他还在完全志愿者组成的Apache软件基金会担任HTTP服务器项目副总裁一职。他在近12年一直效力于Apache软件基金会,担任过不同岗位,包括2007年至2009年任职基金会董事。

本系列导航

web服务器有哪些

一种错误的想法:开源不大安全

安全技术区www.hj8828.com, 

①Apache

首先,我们向Bill(注:William的昵称)抛出了人们通常所持的这个想法:由于在Apache
HTTP服务器等开源项目中,源代码向公众开放,所以这意味着开源不大安全。这种观点认为,实际上,谁要是想钻运行开源软件的系统的空子,只要查看代码,就能弄清楚如何闯入进去。另一方面,闭源软件天生要来得更安全,因为代码不是谁都可以随随便便查看的。

前言

Apache是世界使用排名的Web服务器软件。它几乎可以运行在所有的计算机平台上。由于Apache是开源免费的,因此有很多人参与到新功能的开发设计,不断对其进行完善。 
Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。

www.hj8828.com 1 
William A. Rowe Jr.,软件基金会HTTP服务器项目前副总裁

   web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现。所以如果您能完全理解那本书可以跳过本文章。

②IIS

Bill答复:“很显然,这是一种错误的认识。”

通过前面的讨论我们已经知道了如何判断web服务器的类型信息, 从这一节开始我们一起讨论web平台的缺陷攻击。这里说的缺陷是服务器自身的缺陷不是管理员的配置造成的缺陷。对于这种缺陷只能通过升级或者打补丁来避免。当然对于不同的服务器及存在的漏洞,我在这一节所罗列出来的都是过去时,应该都有了解决的方案。目的不是教你如何攻击web平台,而是了解什么是攻击web平台。

IIS(Internet信息服务)英文Internet Information 
Server的缩写。它是微软公司主推的服务器。IIS的特点具有:安全性,强大,灵活。

他继续说:“公开披露自己的部分源代码,这其实是像微软这些闭源产品开发公司最不担心的。它们更加担心的是有人用间谍手段刺探源代码,或者通过渗透测试发现软件缺陷(bug);这种情况下,它们不知道自己的源代码在接受审查。”

正文

③Nginx

他解释,如今,针对软件的安全审查在很大程度上实现了自动化。Bill说:“谁都可以进行这样的审查;由于审查是自动化的,所以可以重现。”

7.1     常用web服务器简介

Nginx不仅是一个小巧且高效的HTTP服务器,也可以做一个高效的负载均衡反向代理,通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。

Apache
HTTP服务器用户社区经常被邀请进行这样的审查,自动扫描代码,一旦发现了异常,就提醒相应的项目组。发现的异常有可能是明确的安全漏洞,也可能不是明确的安全漏洞,但是应予以关注,因为它可能会成为一个明确的安全漏洞。

(1)Apache

④Tomcat

Bill的观点是,黑客针对二进制代码做这样的事不是重大问题,无论二进制代码是用闭源代码编写的,还是用开源代码编写的。他表示,简而言之,坏人在继续捣鼓闭源产品,正如他们在以同样的手法捣鼓开源产品。

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 
项目中的一个核心项目,由Apache、Sun
和其他一些公司及个人共同开发而成。Tomcat
技术先进、性能稳定,而且免费,因而深受Java 
爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web
应用服务器。

针对逆向工程和反编译等方面的牢骚在安全领域其实算不得什么。

Apache源于NCSAhttpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。Apache取自”a
patchy
server”的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。

⑤Lighttpd

他补充说:“针对逆向工程和反编译等方面的牢骚在安全领域其实算不得什么;实际上,对研究安全人员来说只会适得其反。安全研究人员在努力化解问题。要是没有源代码,也就缺乏必要的透明度了,那样他们无法搞清楚可以采取什么化解措施,一开始就避免问题,或者无法搞清楚他们已经发现的漏洞有什么样的实际影响。”

(2)IIS

Lighttpd是由德国人 Jan Kneschke
领导开发的,基于BSD许可的开源WEB服务器软件,其根本的目的是提供一个专门针对高性能网站,安全、快速、兼容性好并且灵活的web 
server环境。具有非常低的内存开销,CPU占用率低,效能好,以及丰富的模块等特点。支持FastCGI,
CGI, Auth, 输出压缩(output  compress), URL重写, Alias等重要功能。

你可能会认为,Bill为其中一个比较知名的开源软件项目工作了这么久,其立场肯定会偏袒一方。别犯想当然的毛病,那样很容易摈弃他的观点。

是英文Internet Information
Server的缩写,译成中文就是”Internet信息服务”的意思。它是微软公司主推的服务器,最新的版本是Windows2008里面包含的IIS
7,IIS与Window Server完全集成在一起,因而用户能够利用Windows
Server和NTFS(NT File
System,NT的文件系统)内置的安全特性,建立强大,灵活而安全的Internet和Intranet站点。

⑥Zeus

他的观点是,闭源软件实际上妨碍了安全研究人员了解安全漏洞的范围。Bill表示,如何找出安全漏洞在开源与闭源之间区别不是很大。这往往就是这个过程:建立任意模式,然后看看会不会引起未预期的后果。

(3)GFE

Zeus是一个运行于Unix下的非常的Web
服务器,据说性能超过Apache,是效率的Web 服务器之一。

HTTP服务器是世界上最常见的Web服务器软件,这点是明摆着的。据最近一项调查显示,全世界运行Apache
HTTP的网站数量超过4.2亿个。鉴于…

Google的web服务器,用户数量激增。目前紧逼iis。

(4)Nginx

不仅是一个小巧且高效的HTTP服务器,也可以做一个高效的负载均衡反向代理,通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。

(5)Lighttpd

是由德国人 Jan Kneschke
领导开发的,基于BSD许可的开源WEB服务器软件,其根本的目的是提供一个专门针对高性能网站,安全、快速、兼容性好并且灵活的web
server环境。具有非常低的内存开销,CPU占用率低,效能好,以及丰富的模块等特点。Lighttpd
是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI, CGI,
Auth, 输出压缩(output compress), URL重写, Alias等重要功能。