根据知名互联网服务研究公司Netcraft对2018年2月活跃网站的统计表明,Apache的市场占有率为42.72%,为最高市场占有率的Web服务器软件。对于Apache的安全,我们将重点聚焦在使用HTTPS加密和使用ModSecurity加固以应对应用代码中可能出现的注入漏洞和跨站脚本漏洞。
使用HTTPS加密网站
2015年12月25日,一份《六公司关于抵制流量劫持等违法行为的联合声明》的出炉让运营商劫持问题浮出了水面。今日头条、美团大众点评网、360、腾讯、微博、小米科技等六家互联网公司共同发表了一份《六公司关于抵制流量劫持等违法行为的联合声明》,呼吁有关运营商严格打击流量劫持问题,并保留进一步采取联合行动的可能。声明指出,困扰互联网行业多年的流量劫持问题对互联网公司、普通用户的正当利益均造成了严重的损害,劫持流量者提供的信息服务,由于完全脱离相关法律监管,放任这种非法劫持的泛滥,将带来无法挽回的恶果。六家公司希望“社会各界充分重视流量劫持这一问题的严重性,采取共同措施抑制劫持,共同打造一个健康、诚信、有序的市场环境。”
这里所说的劫持问题,是指运营商对正常的网站请求结果进行了篡改,以达到注入商业广告获取利益或者节省运营商之间网间计算费用的目的。这其实是中间人攻击(Man-in-the-Middle Attack,MITM)的一种形式。
应对这种中间人攻击的最有效手段就是使用HTTPS加密网站通讯。使用HTTPS加密网站通讯还可以有效的应对网络上的嗅探(Sniffing)。
HTTPS所使用的SSL证书的种类主要有以下三类:
企业型(Organization Validation,OV)SSL证书。浏览器上有绿锁、安全和https的标记。对申请公司单位做严格的身份审核验证,保护内外部网络上敏感数据传输,是中小型企业应用、电商等服务的最佳选择。由CA机构人工审核材料。