Web服务器常见8种安全漏洞
发布时间:2012-02-25 20:15:00
Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。不过无论是什么漏洞,都体现着安全是一个整体的真理,考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。
◆物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,或是请求一个Web服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。
还有一种情况,就是Web服务器的某些显示环境变量的程序错误的输出了Web服务器的物理路径,这应该算是设计上的问题。
◆目录遍历
目录遍历对于Web服务器来说并不多见,通过对任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是附加“../”的一些变形,如“..\”或“..//”甚至其编码,都可能导致目录遍历。前一种情况并不多见,但是后面的几种情况就常见得多,以前非常流行的IIS二次解码漏洞和Unicode解码漏洞都可以看作是变形后的编码。
◆执行任意命令
执行任意命令即执行任意操作系统命令,主要包括两种情况。一是通过遍历目录,如前面提到的二次解码和UNICODE解码漏洞,来执行系统命令。另外一种就是Web服务器把用户提交的请求作为SSI指令解析,因此导致执行任意命令。
◆缓冲区溢出
缓冲区溢出漏洞想必大家都很熟悉,无非是Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTP Header域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。
◆拒绝服务
拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。
◆SQL注入
SQL注入的漏洞在编程过程造成的。后台数据库允许动态SQL语句的执行。前台应用程序没有对用户输入的数据或者页面提交的信息(如POST, GET)进行必要的安全检查。数据库自身的特性造成的,与web程序的编程语言的无关。几乎所有的关系数据库系统和相应的SQL语言都面临SQL注入的潜在威胁 。
◆条件竞争
这里的条件竞争主要针对一些管理服务器而言,这类服务器一般是以System或Root身份运行的。当它们需要使用一些临时文件,而在对这些文件进行写操作之前,却没有对文件的属性进行检查,一般可能导致重要系统文件被重写,甚至获得系统控制权。
◆CGI漏洞
通过CGI脚本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服务未关闭、利用某些服务漏洞执行命令、应用程序存在远程溢出、非通用CGI程序的编程漏洞。
上述文章内容概要地对Web应用系统存在的安全风险进行分析,当然还有更多的其它安全漏洞。叶子提醒基于web应用交易的企业用户,建议寻求专业的安全服务团队或机构对web应用的站点进行风险评估,以减少web应用系统的风险。
猜你喜欢
- 情人节来喽,动手做一张Silverlight贺卡送给她(他)吧。只须简单的几步,就可以在线完成贺卡定制。支持livespace/Flicke
- 使用下面的步骤来设置ftp进行日志记录:1.# cp /etc/inetd.conf /etc/inetd.conf.bak2.# vi /
- 周六生产服务器出现redis服务器不可用状态,错误信息为:状态不可用,等待后台检查程序恢复方可使用。Unexpected end of st
- 上周我们已经向大家预告了我们将陆续推出Adsense“广告管理功能”,现在我们很高兴地通知大家,现在,我们已经开始分批推出这项功能了。一些发
- 模板导入方法如下:1. 登陆后台->常规设置->模板导入->选择模板数据库下载一步->选择要导入的模板(注:这里可以
- Apache Shiro的配置主要分为四部分:对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户、角色一般由后台
- 11月26日消息,178.com与百度游戏频道今日在北京联合宣布:178游戏网与百度游戏频道达成内容深度合作,新版百度游戏频道今日正式上线,
- 呵呵,知道admin5 很长时间了。最早是在易域知道图王。一转眼好几年了。还是第一次在这里发表文章。我不会写东西,写的很简单。做好一个WAP
- IMail基本安装和设置IMail的基本情况〖运行环境〗:NT/2K〖软件名称〗:IMail Administrator Version 6
- 大家在使用GoDaddy主机时,常会遇到一些棘手的问题,下面给大家参考一些疑难解答,希望对大家有帮助。为什么图标目录里的文档显示不出来? 在
- 国防部网站截图对话嘉宾:国防部网站总编辑 季桂林【核心阅读】国防部新闻事务局设立、新闻发言人亮相…&
- 电子商务的兴起,使的很多中小企业都拥有了自己的服务器。对内用来建立局域网,提升办公效率;对外建立网站,更为广泛地宣传企业产品和形象,争取更多
- 方法一:使用lsof命令我们可以使用lsof命令来检查某一端口是否开放,基本语法如下:lsof -i:端口号如果没有任何输出则说明没有开启该
- 操作系统:CentOS 7.x 64位实现目的:安装部署Memcached服务器一、防火墙设置CentOS 7.x默认使用的是firewal
- 上一篇介绍了在Linux的CentOS下如何安装Nginx服务器,并且实现在Linux上访问Nginx服务器。本篇主要介绍VMVare下基于
- 网页内容是写给谁看得?这个问题不是客户问我的,而是我提出的。对这个问题的理解和把握,可以看出你对SEO的认识程度。或许很多网站设计者会毫不犹
- 做网站已经有一段时间了,开始觉得那是专业人士才能做的,自己水平不够,只能学一些前辈们的经验,拿各种博客,联盟来做自己的内容,说到底也只能算是
- 很多站长经常会向我们询问:“主题推广如何为站点匹配出相关度高的推广信息?”基于这个问题,我们将为大家
- 草根网站比门户网站更有前途,此话并非空穴来风,在网络发展不停的泡沫和务实中挣扎中,无数的web2.0 等概念性的网站,越来越经受不起现实的压
- 《商业大亨》以刺激真实的商场竞争、完备的市场体系、拟真的开店攻略、完善的员工系统、刺激的股市系统、有效的媒体系统、激战的赢在大亨系统……,让