Web服务器常见8种安全漏洞

时间:2012-02-25 20:15:00 

Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。不过无论是什么漏洞,都体现着安全是一个整体的真理,考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。

◆物理路径泄露

物理路径泄露一般是由于Web服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,或是请求一个Web服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。

还有一种情况,就是Web服务器的某些显示环境变量的程序错误的输出了Web服务器的物理路径,这应该算是设计上的问题。

◆目录遍历

目录遍历对于Web服务器来说并不多见,通过对任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是附加“../”的一些变形,如“..\”或“..//”甚至其编码,都可能导致目录遍历。前一种情况并不多见,但是后面的几种情况就常见得多,以前非常流行的IIS二次解码漏洞和Unicode解码漏洞都可以看作是变形后的编码。

◆执行任意命令

执行任意命令即执行任意操作系统命令,主要包括两种情况。一是通过遍历目录,如前面提到的二次解码和UNICODE解码漏洞,来执行系统命令。另外一种就是Web服务器把用户提交的请求作为SSI指令解析,因此导致执行任意命令。

◆缓冲区溢出

缓冲区溢出漏洞想必大家都很熟悉,无非是Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTP Header域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。

◆拒绝服务

拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。

◆SQL注入

SQL注入的漏洞在编程过程造成的。后台数据库允许动态SQL语句的执行。前台应用程序没有对用户输入的数据或者页面提交的信息(如POST, GET)进行必要的安全检查。数据库自身的特性造成的,与web程序的编程语言的无关。几乎所有的关系数据库系统和相应的SQL语言都面临SQL注入的潜在威胁 。

◆条件竞争

这里的条件竞争主要针对一些管理服务器而言,这类服务器一般是以System或Root身份运行的。当它们需要使用一些临时文件,而在对这些文件进行写操作之前,却没有对文件的属性进行检查,一般可能导致重要系统文件被重写,甚至获得系统控制权。

◆CGI漏洞

通过CGI脚本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服务未关闭、利用某些服务漏洞执行命令、应用程序存在远程溢出、非通用CGI程序的编程漏洞。

上述文章内容概要地对Web应用系统存在的安全风险进行分析,当然还有更多的其它安全漏洞。叶子提醒基于web应用交易的企业用户,建议寻求专业的安全服务团队或机构对web应用的站点进行风险评估,以减少web应用系统的风险。

标签:服务器,漏洞
0
投稿

猜你喜欢

  • 借用SSL验证,让IIS信息访问更安全(1)

    2007-03-27 09:36:00
  • 关于vmware workstations与device/credential不兼容启动报错的问题

    2022-07-22 22:34:31
  • linux中ipset命令的使用方法详解

    2023-07-22 19:45:07
  • Nginx反爬虫策略,防止UA抓取网站

    2021-06-09 11:03:00
  • 教你如何提高自身网站权重 网站形象推广

    2009-05-24 21:58:00
  • linux挂载新硬盘过程分享

    2023-09-02 01:52:32
  • 固若金汤 网站后台不容忽视的几个安全问题

    2009-01-30 02:25:00
  • 分享购买ixwebhosting主机的过程

    2010-03-23 13:40:00
  • Linux ps和pstree命令知识点总结

    2023-08-31 10:53:02
  • VMWare Workstation虚拟机访问外网的图文教程

    2021-06-28 19:54:09
  • B2C模式是中国服装企业转型和升级的拐点

    2009-10-30 13:58:00
  • 站长托管服务器之前必做的六件事

    2009-09-02 14:57:00
  • 网站内部链接的重要性及优化方法

    2008-11-10 10:59:00
  • Godaddy Economy windows主机配置教程[一]

    2010-04-20 13:15:00
  • Godaddy:如何为masked domain添加一个标题及原标签

    2010-05-05 12:58:00
  • 当中国用户流量遭遇英文AdSense广告

    2007-11-01 14:47:00
  • 如何让你的网站人见人爱

    2008-03-23 13:44:00
  • Google +1按钮:应该注意的31项

    2011-06-07 14:18:00
  • 基础教程篇:五个方面何防止网站被挂木马

    2008-10-28 21:05:00
  • OpenSuSE国内最大镜像服务器:lizardsource.cn

    2008-09-26 17:20:00
  • asp之家 网站运营 m.aspxhome.com