详解Web服务器安全攻击及防护机制

来源:互联网
更新时间:2016/12/10 11:24:52
责任编辑:李志喜
字体:

Web服务器攻击常利用Web服务器软件和配置中的漏洞,针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器,本文详解了Web服务器保护的一些方法。

Web安全分为两大类:

· Web服务器的安全性(Web服务器本身安全和软件配置)。

· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。

Web服务器面临的攻击

Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括:

· 缓冲区溢出

· 文件目录遍历

· 脚本权限

· 文件目录浏览

· Web服务器软件默认安装的示例代码

· Web服务器上运行的其他软件中的漏洞,例如SQL数据库软件

让我们对上诉漏洞依个进行深入地探讨。

1.缓冲区溢出

缓冲区溢出允许恶意代码注入到应用程序,它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的,例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码,使用C语言编写:

char aTmp[100];

scanf("%s",aTmp);

在第一行中,程序员声明一个长度为100的数组aTmp。在第二行中,scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查,如果给定的输入超过100个字符,就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码,这部分汇编代码能够获得源程序一样的运行权限。

2.目录遍历

目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如,微软IIS Web站点的默认文件夹为C:\inetpub,攻击者可使用的目录遍历漏洞,在该文件夹之外去读取他们本不该访问的文件。详细来说,假如有一个网址为“www.bad.com”的网站,其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞:

http://www.bad.com/../autoexec.bat

URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历,不然所有目录可能都是可访问的。这种情况下,Web服务器将显示“autoexec.bat”文件的内容,或者攻击者选择的任何其他文件。

值得注意的是:我们已经使用 IIS 作为示例;但是,此漏洞的利用不是针对IIS服务器的,在其他的Web 服务器上也有目录遍历漏洞。

3.脚本权限

为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序,管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例,探讨如果管理员将此权限授予C盘下的所有目录将发生什么。

www.xue163.com true /5/56600.html report 1837 详解Web服务器安全攻击及防护机制,Web服务器攻击常利用Web服务器软件和配置中的漏洞,针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器,本文详解了Web服务器保护的一些方法。Web安全分为两大类:·Web服务器的安全性(Web服务器本身安全和软件配置)。&mi...
最近关注
首页推荐
热门图片
最新添加资讯
24小时热门资讯
javaweb开发详解web.xml详解web.config配置详解web详解javaweb详解javaweb应用详解web服务器漏洞攻击web服务器攻击
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技