目前WWW Server软件有许多，能运行在linux下的也不少，有NCSA HTTPd Server、CERN HTTPd Server、pache、Netscape Fast Track Server、Zeus Server等。这些软件各有特色：NCSA（美国伊利诺斯大学的国家超级计算应用中心）是WWW Browser Mosaic发迹之地，也是Netscape公司的安德森成名的地方；CERN（欧洲原子核研究中心）是WWW的起源地，1989年蒂姆·贝纳斯-李正是在这开发成功了世界上第一个Web服务器和客户机。这两家推出的WWW Server功能齐全，成为同类软件的标准，再加上它们都是Freeware，因此刚一推出就大受...

六、数据共享 Zope 的强大功能之一就是它简单而成熟的数据共享模型，这个模型叫做“获取”，核心的概念可以简单的描述为： Zope 对象包含于其它对象中（例如，文件夹） 对象能够“获取”容器中的属性，内容，行为。 　　以前，我们决定把我们网站的头和脚封装到分离的 DTML 文档，这样能包含其他网站的内容，但是这个设计在拷贝头和脚到网站内所有的文件夹时发生了问题。如果我们采取“获取”的办法，在网站的顶层文件夹建立头和脚，下层的 DTML 就能自动“获取”。 　　这个概念对所有的对象都适用，对把常用的资源集中起...

把尽可能多的服务隔离运行可以部分地解决这个问题，例如用Apache suexec程序的sbox让所有的CGI在隔离的环境以客户的用户ID而不是Web服务器的用户ID运行。另外，许多服务器上运行着FTP服务，例如wu-ftpd，该服务的所有文件传输都是隔离进行的，同样也保护了善意客户的资料避免被其他人偷看。 　　然而，恶意的客户仍旧能够用CGI程序创建符号链接指向其他用户的存储区域，然后通过它自己的Web服务器查看其他人的文件，这是因为在一个运行多个网站的环境中，Web服务器无法简单地以隔离方式以及用它为之应答请求的客...

  一．Background 基于Internet的网络经济一直吸引着人们的眼球，随着门户网站的局势已定，现在又涌现出一批以“电子商务”命名的网络公司。相比之下，他们比较冷静和谨慎。在企业级应用上，他们不仅仅满足于协助中小企业上网，更多的是想提供一些电子商务的主打产品：CRM、ERP、SCM等，或者提供从IDC到ASP一条龙服务。  但是，就我所经历的情况来看，真正能埋头做产品的公司微乎其微。一是因为投入太大，二是因为很难找到合适的市场定位。做方案和集成，无非是东拼西凑，糊弄初级客户，完全没有自己的东...

伪造Web请求（一） 　　 下面这个简单的PHP程序将输出CGI参数b的值以及HTTP_REFERER的值： kris@valiant:~/www < cat test.php < ?php print "The value of b is $bn"; print "The value of HTTP_REFERER is $HTTP_REFERERn"; ? > 　　用telnet连接到80端口，我们能够向上述脚本提供任意的参数值b，同时还可以任意提供HTTP_REFERER值。我们把下面的几行发送到服务器： GET /~kris/test.php?b=this+is+a+test HTTP/1.0 Host: valiant.koehntopp.de Referer: http://www.attack...

伪造Web请求（二） 　　注意b的值必须以URL编码格式输入。要将字符串进行URL编码，可以使用一个简单的PHP程序，例如： kris@valiant:~/www < cat urlencode.php #! /home/kris/bin/php -q < ?php print urlencode($argv[1])."n"; ? > kris@valiant:~/www < ./urlencode.php "this is a test" this+is+a+test 　　发送HTTP POST请求只是稍微复杂一点：现在应该在这个请求中包含一个合法的Content-Type头以及正确的内容长度字节数。下面是具体过程： kris@valiant:~/www <...

伪造Web请求（三） 　　另外一种常见的错误是把内部应用的状态数据通过< INPUT TYPE="HIDDEN" >标记从一个页面传递到另一个页面。把内部应用的状态放到信任界限之外就如把应用的心脏挖出来放到了攻击者的面前。对于如此缺乏安全保障的应用，任何想要摧毁它的攻击者都可以轻易地引导该应用并得到任何想要的效果。应用的状态应该通过会话变量保存在服务器上，永远不应该跨越信任界限。所有的Web应用开发平台都有这种机制。例如在PHP3中，PHPLIB可用于保存会话数据，PHP4使用的是session_*()调用，ASP提供Sess...

三．SSL 　　Internet是一个开放的系统。大部分的网络通信都是不安全的，就好比传统邮政中的明信片邮寄，恶意用户可以偷看明信片内容、篡改和伪造身份发送。 　　SSL，即Secure Socket Layer，是工作在网络层与会话层之间的协议，它在TCP/IP和HTTP之间增加了一个加密层，主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用于Web Server方式。 　　电子商务系统中，最常用的加密协议是SSL和SET。SET是在应用层，而SSL是在...

FreeBSD是一个性能稳定的免费操作系统，当前很多的商业网站使用在FreeBSD上的Apache来搭建Web服务器平台。在FreeBSD上，Apache的运行性能受到很多因素的影响，本文将介绍如何调整Apache的性能，使你的Web服务器运行的更好。 　　和其他操作系统一样，监听队列（listen queue）是首要限制条件。下面是Aaron Gifford 对BSDI 1.x，2.x和FreeBSD 2.0（包括旧版本）上的建议。 　　编辑下面两个文件： /usr/include/sys/socket.h /usr/src/sys/sys/socket.h 　　在每个文件中，搜寻： /* * Maximum queue length spec...

面是一些要检查的安全设置：  SSL： 在httpd.conf中打开SSL Port 80 Listen 80 Listen 443 SSLSessionCache dbm:/usr/local/apache/ logs/ssl_scache SSLSessionCacheTimeout 1200 # For increased performance use "SSLMutex sem" instead of the line below SSLMutex file:/usr/local/apache/logs/ssl_mutex SSLLog /usr/local/apache/logs/ssl_engine_log # change the log level default from "info" to "warn" SSLLogLevel warn SSLOptions +OptRenegotiate  打开虚拟主机的SSL支持： # Within t...