首页 > 优化 > 关键词  > web服务器最新资讯  > 正文

详解Web服务器安全攻击及防护机制

2015-01-20 09:47 · 稿源: 51CTO

Web服务器攻击常利用Web服务器软件和配置中的漏洞,针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器,本文详解了Web服务器保护的一些方法。

Web安全分为两大类:

· Web服务器的安全性(Web服务器本身安全和软件配置)。

· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。

Web服务器面临的攻击

Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括:

· 缓冲区溢出

· 文件目录遍历

· 脚本权限

· 文件目录浏览

· Web服务器软件默认安装的示例代码

· Web服务器上运行的其他软件中的漏洞,例如SQL数据库软件

让我们对上诉漏洞依个进行深入地探讨。

1.缓冲区溢出

缓冲区溢出允许恶意代码注入到应用程序,它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的,例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码,使用C语言编写:

char aTmp[100];

scanf("%s",aTmp);

在第一行中,程序员声明一个长度为100的数组aTmp。在第二行中,scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查,如果给定的输入超过100个字符,就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码,这部分汇编代码能够获得源程序一样的运行权限。

2.目录遍历

目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如,微软IIS Web站点的默认文件夹为C:\inetpub,攻击者可使用的目录遍历漏洞,在该文件夹之外去读取他们本不该访问的文件。详细来说,假如有一个网址为“www.bad.com”的网站,其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞:

https://www.bad.com/../autoexec.bat

URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历,不然所有目录可能都是可访问的。这种情况下,Web服务器将显示“autoexec.bat”文件的内容,或者攻击者选择的任何其他文件。

值得注意的是:我们已经使用 IIS 作为示例;但是,此漏洞的利用不是针对IIS服务器的,在其他的Web 服务器上也有目录遍历漏洞。

3.脚本权限

为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序,管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例,探讨如果管理员将此权限授予C盘下的所有目录将发生什么。

https://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir

首先我们来破译这神秘的URL。某些字符如空格和斜杠,不能出现在URL中,因为URL是限于7 -bit编码的ASCII码。然而,某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示,或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说,字母a表示十六进制中的数字10,f表示15,并使用10表示数字16。所以,在前面的示例:

· 空格使用ASCII编码表示为十进制的32,使用十六进制则为20,因此变成%20。

· 斜杠(/)使用ASCII编码表示为十进制的47,使用十六进制则为2f,因此变成%2f。

经Web服务器解析后,就成为下面的URL:

../winnt/system32/cmd.exe /c dir

这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”

文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件,并将结果返回给用户。当然,这是只是一个简单的例子,攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的。

图1是IIS目录权限的配置的截屏。最佳做法是只给包含需要执行的服务端应用的文件夹设置可执行的权限,而不是包含可被攻击者利用的软件的文件夹,例如包含“cmd.exe”或者其他内置的操作系统命令。

图1 IIS脚本权限控制台的屏幕截图

那是用于网站访问者运行的命令,而不是可能援助攻击者的软件,如cmd.exe或其他内置操作系统命令。

  • 相关推荐
  • 大家在看
  • Facebook大规模服务中断事件调查:BGP与DNS服务器离线所致

    BGP 是“边界网关协议”的缩写,作为一套允许在互联网上的自治系统(AS)之间交换路由信息的机制,其在刚刚过去的 Facebook 大规模服务中断事件中也扮演了重要的角色。Cloudflare 指出,BGP 使得互联网上工作的大型路由器能够拥有庞大的、不断更新的可能路由列表,从而将各个挽留过数据包送达最终的目的地。(图自:Cloudflare)若缺乏 BGP,互联网路由器将不知如何正确工作。毕竟 Internet 的本意,就是在 BGP 绑定之下、一个套着

  • 《王者荣耀》限时点券大放送挤爆服务器 官方紧急扩容

    10月8日,《王者荣耀》上线了限时点券大放送”活动,完成活动任务,就可以获得1000限时点券,进入限时点券商城中进行兑换传说以及史诗皮肤。想想免费获得1000限时点券,不少玩家们简直乐开了花。因活动火爆,部分玩家在参与王者宝藏-限时点券大放送活动时,出现对局结束后点赞、赠送金币后无法完成对应任务的问题。对此,王者荣耀官方刚刚发布了《王者宝藏-限时点券大放送活动任务异常说明》,文中指出,针对该问题我们正在进行紧?

  • Omdia:AMD在服务器CPU市场获得16%份额 历史最佳成绩

    市场分析公司 Omdia 发布的最新研报称,在最近一个季度中 AMD 在服务器市场取得了骄人的 16% 份额。Business Wire 报道称,AMD 之所以能够取得如此优秀的成绩,部分原因是 Google 等超大规模云服务提供商的需求。报告中指出由于对服务器需求的巨大要求,甚至在行业遭受按时完成订单的能力的情况下,AMD 显示“总共有 215 亿美元的供应商收入”。来自服务器的收入预计将出现 11% 的增长,获得总额为 920 亿美元的收入。由于服务器价

  • Omdia:AMD处理服务器市场份额达10多年最高水平

    研究机构 Omdia 日前发布了2021年第二季度全球服务器市场报告。报告显示,AMD 在该季度的业绩表现是有史以来最好的,超大规模云计算客户(谷歌)的采购带动了 AMD 的业绩表现。

  • 微软为Exchange Online服务器部署HTTP/3:延迟有望降低67%

    从一个多月前正式发布的 Windows Server 2022 开始,Exchange Online 团队就一直与 Microsoft 365 团队展开密切合作,以期在 Outlook.office.com 的服务器端提供对 HTTP/3 的支持。由微软分享的最新消息可知,其部署进度已达 20% 。这家软件巨头提供了所谓“最后一英里请求延迟指标”的一些详情。作为一个重要的性能指标,这意味着从总请求时间中(客户端与前门服务器之间),减去的后端处理所需时间。对于 Web 端的 Outlook 来说?

  • 国首发!腾讯云第六代100G云服务器正式规模应用

    腾讯云日前正式发布规模应用的第六代100G云服务器机型。此次发布的机型包括标准型 SA3、标准型 S6、内存型 M6、计算型 C6 等多种机型选择,以及 1 核到 232 核的多种灵活算力配置,可覆盖全行业客户使用场景;为典型的企业级软件、数据库、搜索、高性能计算等应用带来全方位的性能与稳定性升级,尤其适用于视频弹幕、直播、游戏等网络应用场景。第六代云服务器性能全面提升此次腾讯云发布的第六代云服务器属于全新一代的云基础设施

  • 消息称阿里巴巴将于今年云栖大会发布Arm服务器芯片

    据财新从数位知情人士处获悉,阿里从 2019 年开始研发的Arm架构服务器芯片已于年中完成流片,或于近期发布。该芯片采用 5 纳米工艺打造,是目前制程上最为先进的服务器芯片。

  • 脸书一周内第二次宕机 13岁中国黑客攻陷脸书系谣言:官方称服务器故障

    当地时间10月4日,美国社交网络巨头脸书”(Facebook)及其旗下的Instagram、WhatsApp等应用出现大规模宕机,服务中断长达近6小时,此次事故影响了全球近35亿用户,也导致Facebook首席执行官马克扎克伯格的身价缩水了数十亿美元。在脸书瘫痪的这六个小时里,舆论一片哗然,到底发生了什么才会导致如此大规模故障?在众多猜测声中,推特等海外社交平台上有账号援引所谓的外媒消息称,这一切都是一名叫做Sun Jisu的13岁中国小黑客的杰

  • 星际港湾|元宇宙、Web3等概念大火之后的红利所在

    近年来,随着加密领域里的DeFi生态崛起后,人们更清晰地看到区块链应用落地的价值,于是NFT、元宇宙和Web3概念开始接力呈现出一片“炙手可热”的喜人形式。关注这些新兴领域的人们无不是为了布局未来大机遇,事实上在这些概念落地初期,基础设施是最关键的,其中除了众所周知的公链以外,分布式存储也将进入下一个红利期…… 从NFT到元宇宙、Web3?为何说分布式存储是刚需?随着加密世界日新月异的发展,人们越来越多地讨论和研究NFT

  • Xbox之父向AMD道歉:20年前背叛你们用Intel处理的做法很混账

    微软Xbox游戏机即将迎来发布20周年。在这个特别的时刻,初代Xbox设计师Seamus Blackley在社交平台更新了一些初代主机背后不为人知的故事,并引发游戏圈热议。Blackley此番公开向AMD道歉,并艾特AMD CEO苏姿丰博士,甚至表示感觉自己是个混球。这是什么情况?原来,Blackley透露,初代Xbox研发时,AMD工程团队曾热情参与,并帮忙打造了原型机,甚至很多游戏Demo都是跑在AMD硬件上。可是最终时任Intel CEO的安迪格鲁夫说服了比尔盖茨

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天