Web服務(wù)器常見8種安全漏洞

Web服務(wù)器存在的主要漏洞包括物理路徑泄露,CGI源代碼泄露,目錄遍歷,執(zhí)行任意命令,緩沖區(qū)溢出,拒絕服務(wù),SQL注入,條件競爭和跨站腳本執(zhí)行漏洞,和CGI漏洞有些相似的地方,但是更多的地方還是有著本質(zhì)的不同。不過無論是什么漏洞,都體現(xiàn)著安全是一個(gè)整體的真理,考慮Web服務(wù)器的安全性,必須要考慮到與之相配合的操作系統(tǒng)。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)、渭城網(wǎng)絡(luò)推廣、成都小程序開發(fā)、渭城網(wǎng)絡(luò)營銷、渭城企業(yè)策劃、渭城品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們大的嘉獎(jiǎng);創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供渭城建站搭建服務(wù),24小時(shí)服務(wù)熱線:028-86922220,官方網(wǎng)址:bm7419.com

◆物理路徑泄露

物理路徑泄露一般是由于Web服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的,如通過提交一個(gè)超長的請(qǐng)求,或者是某個(gè)精心構(gòu)造的特殊請(qǐng)求,或是請(qǐng)求一個(gè)Web服務(wù)器上不存在的文件。這些請(qǐng)求都有一個(gè)共同特點(diǎn),那就是被請(qǐng)求的文件肯定屬于CGI腳本,而不是靜態(tài)HTML頁面。綿陽電信機(jī)房

還有一種情況,就是Web服務(wù)器的某些顯示環(huán)境變量的程序錯(cuò)誤的輸出了Web服務(wù)器的物理路徑,這應(yīng)該算是設(shè)計(jì)上的問題。

◆目錄遍歷

目錄遍歷對(duì)于Web服務(wù)器來說并不多見,通過對(duì)任意目錄附加“../”,或者是在有特殊意義的目錄附加“../”,或者是附加“../”的一些變形,如“..\”或“..//”甚至其編碼,都可能導(dǎo)致目錄遍歷。前一種情況并不多見,但是后面的幾種情況就常見得多,以前非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。

◆執(zhí)行任意命令

執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令,主要包括兩種情況。一是通過遍歷目錄,如前面提到的二次解碼和UNICODE解碼漏洞,來執(zhí)行系統(tǒng)命令。另外一種就是Web服務(wù)器把用戶提交的請(qǐng)求作為SSI指令解析,因此導(dǎo)致執(zhí)行任意命令。

◆緩沖區(qū)溢出

緩沖區(qū)溢出漏洞想必大家都很熟悉,無非是Web服務(wù)器沒有對(duì)用戶提交的超長請(qǐng)求沒有進(jìn)行合適的處理,這種請(qǐng)求可能包括超長URL,超長HTTP Header域,或者是其它超長的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù),這一般取決于構(gòu)造的數(shù)據(jù)。

◆拒絕服務(wù)

拒絕服務(wù)產(chǎn)生的原因多種多樣,主要包括超長URL,特殊目錄,超長HTTP Header域,畸形HTTP Header域或者是DOS設(shè)備文件等。由于Web服務(wù)器在處理這些特殊請(qǐng)求時(shí)不知所措或者是處理方式不當(dāng),因此出錯(cuò)終止或掛起。

◆SQL注入

SQL注入的漏洞在編程過程造成的。后臺(tái)數(shù)據(jù)庫允許動(dòng)態(tài)SQL語句的執(zhí)行。前臺(tái)應(yīng)用程序沒有對(duì)用戶輸入的數(shù)據(jù)或者頁面提交的信息(如POST, GET)進(jìn)行必要的安全檢查。數(shù)據(jù)庫自身的特性造成的,與web程序的編程語言的無關(guān)。幾乎所有的關(guān)系數(shù)據(jù)庫系統(tǒng)和相應(yīng)的SQL語言都面臨SQL注入的潛在威脅 。

◆條件競爭

這里的條件競爭主要針對(duì)一些管理服務(wù)器而言,這類服務(wù)器一般是以System或Root身份運(yùn)行的。當(dāng)它們需要使用一些臨時(shí)文件,而在對(duì)這些文件進(jìn)行寫操作之前,卻沒有對(duì)文件的屬性進(jìn)行檢查,一般可能導(dǎo)致重要系統(tǒng)文件被重寫,甚至獲得系統(tǒng)控制權(quán)。

◆CGI漏洞

通過CGI腳本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服務(wù)未關(guān)閉、利用某些服務(wù)漏洞執(zhí)行命令、應(yīng)用程序存在遠(yuǎn)程溢出、非通用CGI程序的編程漏洞。

上述文章內(nèi)容概要地對(duì)Web應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)進(jìn)行分析,當(dāng)然還有更多的其它安全漏洞。葉子提醒基于web應(yīng)用交易的企業(yè)用戶,建議尋求專業(yè)的安全服務(wù)團(tuán)隊(duì)或機(jī)構(gòu)對(duì)web應(yīng)用的站點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,以減少web應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)。

網(wǎng)站標(biāo)題:Web服務(wù)器常見8種安全漏洞
鏈接地址:http://bm7419.com/article18/diggp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供搜索引擎優(yōu)化軟件開發(fā)、網(wǎng)頁設(shè)計(jì)公司、Google、響應(yīng)式網(wǎng)站網(wǎng)站維護(hù)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)