- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章Web服务器安全攻击及防护机制详解由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
Web安全分为两大类:
· Web服务器的安全性(Web服务器本身安全和软件配置).
· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全).
Web服务器面临的攻击 。
Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括:
· 缓冲区溢出 。
· 文件目录遍历 。
· 脚本权限 。
· 文件目录浏览 。
· Web服务器软件默认安装的示例代码 。
· Web服务器上运行的其他软件中的漏洞,例如SQL数据库软件 。
让我们对上诉漏洞依个进行深入地探讨.
1.缓冲区溢出 。
缓冲区溢出允许恶意代码注入到应用程序,它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的,例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码,使用C语言编写:
char aTmp[100],
scanf("%s",aTmp),
在第一行中,程序员声明一个长度为100的数组aTmp。在第二行中,scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查,如果给定的输入超过100个字符,就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码,这部分汇编代码能够获得源程序一样的运行权限.
2.目录遍历 。
目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如,微软IIS Web站点的默认文件夹为C:\inetpub,攻击者可使用的目录遍历漏洞,在该文件夹之外去读取他们本不该访问的文件。详细来说,假如有一个网址为“www.bad.com”的网站,其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞:
http://www.bad.com/../autoexec.bat 。
URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历,不然所有目录可能都是可访问的。这种情况下,Web服务器将显示“autoexec.bat”文件的内容,或者攻击者选择的任何其他文件.
值得注意的是:我们已经使用 IIS 作为示例;但是,此漏洞的利用不是针对IIS服务器的,在其他的Web 服务器上也有目录遍历漏洞.
3.脚本权限 。
为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序,管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例,探讨如果管理员将此权限授予C盘下的所有目录将发生什么.
http://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir 。
首先我们来破译这神秘的URL。某些字符如空格和斜杠,不能出现在URL中,因为URL是限于7 -bit编码的ASCII码。然而,某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示,或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说,字母a表示十六进制中的数字10,f表示15,并使用10表示数字16。所以,在前面的示例:
· 空格使用ASCII编码表示为十进制的32,使用十六进制则为20,因此变成%20.
· 斜杠(/)使用ASCII编码表示为十进制的47,使用十六进制则为2f,因此变成%2f.
经Web服务器解析后,就成为下面的URL:
../winnt/system32/cmd.exe /c dir 。
这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32” 。
文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件,并将结果返回给用户。当然,这是只是一个简单的例子,攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的.
图1是IIS目录权限的配置的截屏。最佳做法是只给包含需要执行的服务端应用的文件夹设置可执行的权限,而不是包含可被攻击者利用的软件的文件夹,例如包含“cmd.exe”或者其他内置的操作系统命令.
图1 IIS脚本权限控制台的屏幕截图 。
那是用于网站访问者运行的命令,而不是可能援助攻击者的软件,如cmd.exe或其他内置操作系统命令.
4.目录浏览 。
通常情况下,目录浏览是禁用的,但是如果启用它,则它显示该目录中的所有文件,并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此,不建议启用Web 服务器上的目录浏览.
5.默认示例 。
默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例,如果已经安装了,最好把它们删除掉.
6.其他服务 。
攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序,而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上,这样服务器受防火墙保护,只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器,他们也能够干扰或攻陷Web站点.
7.Web服务器软件的固有漏洞 。
每个Web服务器软件,包括IIS和Apache,由于缺乏安全的编码技术,该软件的程序员已经提供了内置漏洞。例如,IIS的.htr漏洞,允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞.
Web服务器的保护 。
针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性.
· 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样,即使攻击者控制了Web 服务器,他们只能获得运行该软件对应的用户账户的权限。这样,攻击计算机或网络上的其他软件可行方案就极为有限了.
· 安装最新的安全补丁并时刻关注漏洞的最新动态.
· 删除默认示例并避免安装类似的示例.
· 通过删除不需要的应用程序,安全配置同一台计算机上的其他网络服务,确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全.
· 确保只给需要执行的脚本单独的目录运行的权限.
· 在Web服务器上每个目录中,都提供一个index.html文件,以避免需要目录浏览.
第三方安全产品 。
商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品:
· 软硬件防火墙 。
· Web应用防火墙(WAFs) 。
· 病毒防御软件 。
· 基于ISAPI的安全产品 。
· 安全日志 。
· 反馈分析软件 。
· 入侵检测系统和入侵检测防御系统 。
· 漏洞扫描软件 。
· 输入验证 。
软硬件防火墙。防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护.
Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护,因为他们会解析HTTP会话的实际内容,寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击.
病毒防御软件。Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器,并且漏洞已知,病毒防御软件能够检测到并阻止.
基于ISAPI的安全产品。此类产品截取URL请求,过滤掉可能的攻击,如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品.
反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改,响应将不匹配原始的已知的正常响应,这样能够检测出未经授权的网站更改.
入侵检测与防御。入侵检测系统(IDS)一般用于入侵的后期处理,因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为.
漏洞扫描软件。管理员应运行漏洞扫描程序定期来测试Web服务器的安全性,因为假如扫描仪发现了安全漏洞,攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web,有些是硬件程序,剩下的是纯软件.
输入验证。输入验证产品检查提交到Web站点每个数据是否存在异常、SQL注入命令或缓冲区溢出攻击代码.
安全日志。安全日志可以提供Web服务器攻击入侵的证据。除了存放在在 Web 服务器上,还应该将它们存储网络上安全的位置以防止攻击者更改日志或删除记录.
最后此篇关于Web服务器安全攻击及防护机制详解的文章就讲到这里了,如果你想了解更多关于Web服务器安全攻击及防护机制详解的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
广播的原则 如果两个数组的后缘维度(从末尾开始算起的维度)的轴长度相符或其中一方的长度为1,则认为它们是广播兼容的。广播会在缺失维度和(或)轴长度为1的维度上进行。 在上面的对arr每一列减去列
之前在讲 MySQL 事务隔离性提到过,对于写操作给读操作的影响这种情形下发生的脏读、不可重复读、虚读问题。是通过MVCC 机制来进行解决的,那么MVCC到底是如何实现的,其内部原理是怎样的呢?我们要
我创建了一个 JavaScript 对象来保存用户在 ColorBox 中检查复选框时设置的值。 . 我对 jQuery 和“以正确的方式”编程 JavaScript 比较陌生,希望确保以下用于捕获用
我为了回答aquestion posted here on SO而玩示例,发现很难理解python的import *破坏作用域的机制。 首先是一点上下文:这个问题不涉及实际问题;我很清楚from fo
我想让我的类具有标识此类的参数 ID。例如我想要这样的东西: class Car { public static virtual string ID{get{return "car";}} }
更新:我使用的是 Java 1.6.34,没有机会升级到 Java 7。 我有一个场景,我每分钟只能调用一个方法 80 次。它实际上是由第 3 方编写的服务 API,如果您多次调用它,它会“关闭”(忽
希望这对于那些使用 Javascript 的人来说是一个简单的答案...... 我有一个日志文件,该文件正在被一个脚本监视,该脚本将注销中的新行提供给任何连接的浏览器。一些人评论说,他们希望看到的更多
我们正在开发针对 5.2 开发的 PHP 应用程序,但我们最近迁移到了 PHP 5.3。我们没有时间去解决所有迁移到 PHP 5.3 的问题。具体来说,我们有很多消息: Declaration of
简介 在实现定时调度功能的时候,我们往往会借助于第三方类库来完成,比如: quartz 、 spring schedule 等等。jdk从1.3版本开始,就提供了基于 timer 的定时调度功能。
Java中,一切都是对象,在分布式环境中经常需要将Object从这一端网络或设备传递到另一端。这就需要有一种可以在两端传输数据的协议。Java序列化机制就是为了解决这个问题而
我将编写自己的自定义控件,它与 UIButton 有很大不同。由于差异太大,我决定从头开始编写。所以我所有的子类都是 UIControl。 当我的控件在内部被触摸时,我想以目标操作的方式触发一条消息。
在我的代码中,在创建 TIdIMAP4 连接之前,我设置了一大堆 SASL 机制,希望按照规定的“最好到最差”顺序,如下所示: IMAP.SASLMechanisms.Add.SASL := mIdS
在 Kubernetes 中,假设我们有 3 个 pod,它们物理上托管在节点 X、Y 和 Z 上。当我使用“kubectl expose”将它们公开为服务时,它们都是集群中的节点(除了 X、Y 和
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我知道进程间通信 (ipc) 有几种方法,例如: 文件 信号 socket 消息队列 管道 命名管道 信号量 共享内存 消息传递 内存映射文件 但是我无法找到将这些机制相互比较并指出它们在不同环境中的
当我尝试连接到 teradata 时,出现了TD2 机制不支持单点登录 错误。 在 C# 中,我遇到了类似的问题,我通过添加 connectionStringBuilder.Authetication
我有一个带有 JSON API 的简单 Javascript 应用程序。目前它在客户端运行,但我想将它从客户端移动到服务器。我习惯于学习新平台,但在这种情况下,我的时间非常有限 - 所以我需要找到绝对
我想了解事件绑定(bind)/解除绑定(bind)在浏览器中是如何工作的。具体来说,如果我删除一个已经绑定(bind)了事件的元素,例如使用 jQuery:$("#anElement").remove
我不是在寻找具体答案,只是一个想法或提示。我有以下问题: Android 应用程序是 Web 服务的客户端。它有一个线程,通过 http 协议(protocol)发送事件(带有请求 ID 的 XML
我正在研究 FreeBSD TCP/IP 栈。似乎有 2 种 syn flood 机制,syncookies 和 syncache。我的问题是关于 syncookies,它是从头开始还是在 SYN 队
我是一名优秀的程序员,十分优秀!