Риск безопасности порта 80

1292
Adam

Допустим, я делаю простую веб-страницу, которая просто говорит «привет мир» без кнопок, форм, ничего, кроме простого текста. Теперь я перенаправляю частный IP-адрес этого компьютера на маршрутизатор, отправляющий через порт 80 сервера, так что теперь пользователь может просто ввести мой общедоступный IP-адрес в любой точке мира и прочитать мой «привет мир». Каковы риски безопасности? Я знаю о многих рисках безопасности в веб-программировании, таких как атаки включения, атаки SQL-инъекций, клик-джекинг и атаки target = "_ blank", но этот сайт hello world представляет собой простой текст. Какие тогда риски?

-1
Риск - это ошибка безопасности самого демона http. Ipor Sircer 7 лет назад 2
Теперь вы подвержены атаке типа «отказ в обслуживании» (DoS); Ваша система может быть перегружена запросами веб-страниц и сбоями. Hydraxan14 7 лет назад 1
@ Hydraxan14 Вы можете DOS любой открытый порт. Ramhound 7 лет назад 1
@ Ramhound ... так? Он только указал, что порт 80 был переадресован. Остальные порты все еще находятся в безопасности позади NAT. DoS на любом другом порту будет атакой на его маршрутизатор, что было бы возможно до настройки этого веб-сервера. Hydraxan14 7 лет назад 2
Чтобы выполнить DoS-атаку на службу, вам необходимо иметь возможность подключиться к службе. Чтобы просто разрушить всю связь, в этом действительно нет необходимости. Таким образом, этот момент в значительной степени спорный. Вы можете легко насытить большинство домашних интернет-соединений. Daniel B 7 лет назад 1

2 ответа на вопрос

2
ctrl-alt-delor

Если вы прослушиваете / привязываете порт 80, то вам нужна возможность CAP_NET_BIND_SERVICE (для привязки к порту <1024). Традиционно это разрешено только пользователю root / admin ( здесь большая проблема безопасности ).

Однако в современном Linux вы можете запускать его как непривилегированный пользователь специального назначения и предоставить серверу именно такую ​​возможность.

Вы также можете настроить брандмауэр для ограничения количества соединений в секунду. (чтобы уменьшить DOS).

В Linux вы можете поместить его в контейнер (например, в Docker), чтобы ограничить используемые системные ресурсы.

Удаление привилегий после привязки к привилегированному порту давно стало обычной практикой. Так что это на самом деле не проблема. Daniel B 7 лет назад 0
Возможности @DanielB являются новыми. Вам больше не нужен всем мощный корень. Поэтому используйте возможности и отбрасывайте их, когда они больше не нужны. ctrl-alt-delor 6 лет назад 0
Вроде нового, да. Моя точка зрения заключалась в том, что даже без возможностей вы можете отбросить все привилегии, которые не требуются для нормальной работы (т. Е. Все, кроме * привязки к порту) и только после этого принимать соединения. Конечно, * с * возможностями, вы можете * начать * с гораздо меньшими привилегиями, еще больше уменьшая поверхность атаки. Daniel B 6 лет назад 0
0
Seth

Установив эту переадресацию, вы позволили интернет-хостам напрямую подключаться к вашей машине.

Таким образом, вы расширили поверхность прямой атаки тем, что может предложить веб-сервер. Если есть ошибка, которая может быть вызвана простым запросом, эта ошибка не подвергается прямым атакам. Кроме того, вы могли бы предоставить дополнительную информацию о вашей системе возможным злоумышленникам в зависимости от информации, отправляемой веб-сервером в других заголовках.

Примером такой информации может быть Serverзаголовок, который будет включать информацию об используемом программном обеспечении сервера, или X-Powered-Byзаголовок, который может включать информацию об используемой версии PHP и возможной ОС.

Похожие вопросы