Web服务器常见8种安全漏洞

2020-02-04

Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。不过无论是什么漏洞,都体现着安全是一个整体的真理,考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。


1、物理路径泄露


物理路径泄露一般是由于Web服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,或是请求一个Web服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。


还有一种情况,就是Web服务器的某些显示环境变量的程序错误的输出了Web服务器的物理路径,这应该算是设计上的问题。


2、目录遍历


目录遍历对于Web服务器来说并不多见,通过对任意目录附加“../”,或者是在有特殊意义的目录附加“../”,或者是附加“../”的一些变形,如“..\”或“..//”甚至其编码,都可能导致目录遍历。前一种情况并不多见,但是后面的几种情况就常见得多,以前非常流行的IIS二次解码漏洞和Unicode解码漏洞都可以看作是变形后的编码。


3、执行任意命令


执行任意命令即执行任意操作系统命令,主要包括两种情况。一是通过遍历目录,如前面提到的二次解码和UNICODE解码漏洞,来执行系统命令。另外一种就是Web服务器把用户提交的请求作为SSI指令解析,因此导致执行任意命令。


4、缓冲区溢出


缓冲区溢出漏洞想必大家都很熟悉,无非是Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTP Header域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。


5、拒绝服务


拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。


6、SQL注入


SQL注入的漏洞在编程过程造成的。后台数据库允许动态SQL语句的执行。前台应用程序没有对用户输入的数据或者页面提交的信息(如POST, GET)进行必要的安全检查。数据库自身的特性造成的,与web程序的编程语言的无关。几乎所有的关系数据库系统和相应的SQL语言都面临SQL注入的潜在威胁 。


7、条件竞争


这里的条件竞争主要针对一些管理服务器而言,这类服务器一般是以System或Root身份运行的。当它们需要使用一些临时文件,而在对这些文件进行写操作之前,却没有对文件的属性进行检查,一般可能导致重要系统文件被重写,甚至获得系统控制权。


8、CGI漏洞


通过CGI脚本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服务未关闭、利用某些服务漏洞执行命令、应用程序存在远程溢出、非通用CGI程序的编程漏洞。


更多新闻动态
  • 云主机的弹性计算、按需付费和管理方便等优点被广泛认可。2019年全国云服务器市场规模已达11...
    云主机的弹性计算、按需付费和管理方便等优点被广泛认可。2019年全国云服务器市场规模已达1116.8亿元。市场现状分析:截至2023年,山东省内拥有上百家云服务商,包括浪潮、联通、电信以及民营云计算服
    2023-10-25
  • 云主机和服务器托管都有各自的优势和适用场景,选择哪种方式取决于您的需求和预算。云主机是基于云...
    云主机和服务器托管都有各自的优势和适用场景,选择哪种方式取决于您的需求和预算。云主机是基于云计算技术提供的虚拟机实例,可以根据需求弹性扩容和缩减资源。以下是云主机的一些优势:灵活性:云主机可以根据需要
    2023-10-24
  • 作为一家成立于2007年的IDC和云主机服务商,济南息宽数据服务有限公司在云计算管理经验上积...
    作为一家成立于2007年的IDC和云主机服务商,济南息宽数据服务有限公司在云计算管理经验上积累了16年的宝贵经验。在这16年中,我们不断探索和改进,致力于为客户提供更高品质的服务和产品。我们很自豪地推
    2023-06-25
  • 服务器托管是指用户委托具有完善机房、良好网络和丰富运营经验的服务商管理其计算机系统,使其更安...
    服务器托管是指用户委托具有完善机房、良好网络和丰富运营经验的服务商管理其计算机系统,使其更安全、稳定、高效的运行。即用户把自己的网络设备(服务器、交换机等等)放在IDC服务商托管商的专业服务器机房中,
    2022-01-05
  • 建一个网站不容易,选择合适的服务器进行租用或托管更是客户头条的问题。对于服务器的选择主要从服...
    建一个网站不容易,选择合适的服务器进行租用或托管更是客户头条的问题。对于服务器的选择主要从服务器健康状况、稳定性、访问速度、功能支持这四个方面来考虑。服务器对于网站的影响是非常大的,一个稳定的服务器可
    2022-01-04
  • 2015是互联网行业鼎盛的一年,作为网络的载体——服务器。也随着互联网行业的发展而迅速发展了...
    2015是互联网行业鼎盛的一年,作为网络的载体——服务器。也随着互联网行业的发展而迅速发展了起来。许许多多的大公司都相应推出了,价格廉价的“云”主机。例如:阿里云、盛大云、腾讯云之类的。而且“云”主机
    2022-01-04
  • 随着数据应用的不断增多,人们已经开始逐渐使用服务器这种“高大上”设备。一些比较谨慎的公司采用...
    随着数据应用的不断增多,人们已经开始逐渐使用服务器这种“高大上”设备。一些比较谨慎的公司采用租赁的方式使用。而一些对于企业未来规划很长远的初创公司,以及资金和办公环境相对过硬的公司则喜欢自己来架设自身
    2022-01-03
  • 价格一直是服务器托管的最关键因素。在众多的咨询客户中,钱的多少往往成为决定性因素。虽然我们一...
    价格一直是服务器托管的最关键因素。在众多的咨询客户中,钱的多少往往成为决定性因素。虽然我们一直在强调质量,服务,但是在企业资金缩减的今天,成本还是最终成交的关键。那么,服务器托管的成本应该如何来计算呢
    2022-01-02
电话咨询
0531-88881300
QQ咨询
88915158
微信咨询