創新易聯歡迎您!13年專注深圳網站建設

Web服務器常見的系統漏洞

日期:2017-11-23 | 來源:易聯網站建設公司 | 閱讀:

當今網絡發達的時代,對于網絡安全要特別的注意,不穩定的網絡空間,對于用戶在使用過程中的安全要非常的注重了。因為不管是公司或者是個人在有危險進行攻擊的時候,都是對文件等方面造成損失,今天我們易聯為您做簡單的介紹Web服務器常見的系統漏洞


1.物理路徑泄露:它有一個特點就是被請求的文件肯定屬于CGI腳本,而不是靜態HTML頁面,Web服務器的某些顯示環境變量的程序錯誤的輸出了Web服務器的物理路徑,這應該算是設計上的問題。


2.目錄遍歷


目錄遍歷對于Web服務器來說并不多見,通過對任意目錄附加“../”,或者是在有特殊意義的目錄附加“../”,或者是附加“../”的一些變形,如“..\”或“..//”甚至其編碼,都可能導致目錄遍歷。前一種情況并不多見,但是后面的幾種情況就常見得多,以前非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。


3.執行任意命令


執行任意命令即執行任意操作系統命令,主要包括兩種情況。一是通過遍歷目錄,如前面提到的二次解碼和UNICODE解碼漏洞,來執行系統命令。另外一種就是Web服務器把用戶提交的請求作為SSI指令解析,因此導致執行任意命令。


4.緩沖區溢出


緩沖區溢出漏洞想必大家都很熟悉,無非是Web服務器沒有對用戶提交的超長請求沒有進行合適的處理,這種請求可能包括超長URL,超長HTTP Header域,或者是其它超長的數據。這種漏洞可能導致執行任意命令或者是拒絕服務,這一般取決于構造的數據。


5.拒絕服務


拒絕服務產生的原因多種多樣,主要包括超長URL,特殊目錄,超長HTTP Header域,畸形HTTP Header域或者是DOS設備文件等。由于Web服務器在處理這些特殊請求時不知所措或者是處理方式不當,因此出錯終止或掛起。


6.SQL注入


SQL注入的漏洞在編程過程造成的。后臺數據庫允許動態SQL語句的執行。前臺應用程序沒有對用戶輸入的數據或者頁面提交的信息(如POST, GET)進行必要的安全檢查。數據庫自身的特性造成的,與web程序的編程語言的無關。幾乎所有的關系數據庫系統和相應的SQL語言都面臨SQL注入的潛在威脅 。


7.條件競爭


這里的條件競爭主要針對一些管理服務器而言,這類服務器一般是以System或Root身份運行的。當它們需要使用一些臨時文件,而在對這些文件進行寫操作之前,卻沒有對文件的屬性進行檢查,一般可能導致重要系統文件被重寫,甚至獲得系統控制權。


8.CGI漏洞通過CGI腳本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服務未關閉、利用某些服務漏洞執行命令、應用程序存在遠程溢出、非通用CGI程序的編程漏洞。


易聯為您提供包括移動網站建設,網站制作,網站設計,HTML5響應式網站,程序開發,云服務器托管及企業郵箱等一站式服務。我們從使用者的角度發現問題,為您的企業找到最佳互聯網解決方案,為客戶創出最完美的創意,找到最有效的解決方法。

—— 微信公眾號 ——

熱門標簽

急速赛车单机版