服务器软件Web安全实践（7）web服务器简介及常用攻击软件

本文笔者在上海逛街的时候突然想到的...这段时间就有想写几篇关于服务器软件的文章，所以回家到之后就奋笔疾书的写出来发布了

    7.1     常用web服务器简介

    （1）Apache

    Apache是世界应用排名第一的Web服务器软件。它可以运行在几乎所有广泛应用的计算机平台上。

    Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache取自"a patchy server"的读音，意思是布满补丁的服务器，因为它是自由软件，所以不断有人来为它开辟新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来应用。

    （2）IIS

    是英文Internet Information Server的缩写，译成中文就是"Internet信息服务"的意思。它是微软公司主推的服务器，最新的版本是Windows2008里面包括的IIS 7，IIS与Window Server完全集成在一起，因而用户可以利用Windows Server和NTFS（NT File System，NT的文件系统）内置的安全特性，建立强大，灵巧而安全的Internet和Intranet站点。

    （3）GFE

    Google的web服务器，用户数量激增。目前紧逼iis。

    （4）Nginx

    不仅是一个玲珑且高效的HTTP服务器，也可以做一个高效的负载均衡反向代理，通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。

    （5）Lighttpd

    是由德国人 Jan Kneschke 引导开辟的，基于BSD许可的开源WEB服务器软件，其基本的目标是供给一个专门针对高性能网站，安全、倏地、兼容性好并且灵巧的web server环境。拥有非常低的内存开销，CPU占用率低，效力好，以及丰硕的模块等特点。Lighttpd 是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI, CGI, Auth, 输出压缩(output compress), URL重写, Alias等重要功能。

    （6）Zeus

    是一个运行于Unix下的非常优秀的Web Server，据说性能超过Apache，是效率最高的Web Server之一。

    （7）Sun的Java系统Web服务器

    也就是之前的Sun ONE Web Server。主要涌现在那些运行Sun的Solaris操作系统的症结任务级Web服务器上。它最新的版本号是6.1,可以支持x86版本Solaris，Red Hat Linux，HP-UX 11i， IBM AIX，甚至可以支持Windows，但它的大多数用户都选择了SPARC版本的Solaris操作系统。

    （8）Resin

    供给了最快的jsp/servlets运行平台。在java和javascript的支持下，Resin可认为任务灵巧选用合适的开辟语言。Resin的一种先进的语言XSL(XML stylesheet language)可以使得情势和内容相分离。

    （9）Jetty

    是一个开源的servlet容器，它为基于Java的web内容，例如JSP和servlet供给运行环境。Jetty是应用Java语言编写的，它的API以一组JAR包的情势发布。开辟职员可以将Jetty容器实例化成一个对象，可以迅速为一些独立运行（stand-alone）的Java应用供给网络和web连接。

    （10）BEA WebLogic

    是用于开辟、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开辟、集成、部署和管理当中。 BEA WebLogic Server拥有处置症结Web应用系统问题所需的性能、可扩展性和高可用性。

    （11）Tomcat

    每日一道理
站在历史的海岸漫溯那一道道历史沟渠：楚大夫沉吟泽畔，九死不悔；魏武帝扬鞭东指，壮心不已；陶渊明悠然南山，饮酒采菊……他们选择了永恒，纵然谄媚诬蔑视听，也不随其流扬其波，这是执著的选择；纵然马革裹尸，魂归狼烟，也要仰天长笑，这是豪壮的选择；纵然一身清苦，终日难饱，也愿怡然自乐，躬耕陇亩，这是高雅的选择。在一番选择中，帝王将相成其盖世伟业，贤士迁客成其千古文章。

    是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开辟而成。由于有了Sun 的参与和支持，最新的Servlet和JSP 标准总是能在Tomcat 中失掉体现。因为Tomcat 技巧先进、性能稳定，而且免费，因而深受Java 爱好者的爱好并失掉了部份软件开辟商的认可，成为目前比较流行的Web 应用服务器。

 

    7.2web服务器漏洞攻击常用软件

 

    （1）Metasploit框架是一个用于开辟，测试和启动攻击代码的开源平台。我们可以利用它开辟攻击代码也可以利用供给好的代码动员攻击。它拥有非常好的扩展性。在http://www.metasploit.com/我们可以失掉Metasploit的所有信息，可以下载不同平台下的版本安装。

    

    （2）N-Stealth

    N-Stealth是一款贸易级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高，它宣称含有"30000个漏洞和漏洞程序"以及"天天增长大量的漏洞检查"，不过这种说法使人质疑。还要注意，实际上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包括Web 扫描部件。(虽然这些工具并非总能保持软件更新，也不一定很灵巧。)N-Stealth主要为Windows平台供给扫描，但并不供给源代码。

    

    （3）Burp suite

    允许攻击者结合手工和主动技巧去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具应用从而动员攻击。

    

    （4）Nikto

    是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目停止测试的扫描软件，能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题，它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也应用LibWhiske库，但平日比Whisker更新的更为频仍。Nikto是网管安全职员必备的WEB审计工具之一。

    

    （5）Paros proxy

    基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息，修改例如Cookie和表字段中的内容。它包括有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器，例如SQL注入和跨网站脚本等。

    （6）其他

    WebScarab

    WebInspect

    Whisker/libwhisker

    Wikto

    Acunetix Web Vulnerability Scanner

    Watchfire AppScan

    剑煞BetaV7.6.8 Web综合信息检测入侵工具

    

文章结束给大家分享下程序员的一些笑话语录： 问：你觉得让你女朋友（或者任何一个女的）从你和李彦宏之间选一个，你觉得她会选谁？　　
　　答：因为李艳红这种败类，所以我没女友！

--------------------------------- 原创文章 By
服务器和软件
---------------------------------