V9-2 Web服務(wù)器軟件的安全威脅_第1頁
V9-2 Web服務(wù)器軟件的安全威脅_第2頁
V9-2 Web服務(wù)器軟件的安全威脅_第3頁
V9-2 Web服務(wù)器軟件的安全威脅_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Web服務(wù)器軟件的安全威脅主講崔升廣一、Web服務(wù)器軟件的安全威脅Web服務(wù)器軟件成為攻擊者攻擊Web應(yīng)用主要原因有以下幾個方面。(1)Web服務(wù)器軟件存在安全漏洞。(2)Web服務(wù)器管理員在配置Web服務(wù)器時存在不安全配置。(3)在Web服務(wù)器的管理上沒有做好安全配置。如沒有做到定期下載安全補丁、選用了從網(wǎng)上下載的簡單的Web服務(wù)器軟件、沒有進行嚴格的口令管理等。一、Web服務(wù)器軟件的安全威脅雖然現(xiàn)在針對Web服務(wù)器軟件的攻擊行為相對減少,但是仍然存在,下面列舉幾類目前比較常見的Web服務(wù)器軟件安全漏洞。(1)源代碼泄露安全漏洞。通過這類漏洞,滲透攻擊人員能夠查看到?jīng)]有防護措施的Web服務(wù)器上的應(yīng)用程序源代碼,甚至可以利用這些漏洞查看到系統(tǒng)級的文件,如經(jīng)典的IIS上的“+.hr”漏洞。(2)服務(wù)器功能擴展模塊漏洞。Web服務(wù)器軟件可以通過一些功能擴展模塊來為核心的HTTP引擎增加其他功能,如IIS的索引服務(wù)模塊可以啟動站點檢索功能。和Web服務(wù)器軟件相比,這些功能擴展模塊的編寫質(zhì)量要差很多,因此存在更多的安全漏洞。(3)資源解析安全漏洞。Web服務(wù)器軟件在處理資源請求時,需要將同一資源的不同表示方式解析為標準化名稱,這個過程稱為資源解析。IISUnicode解析錯誤漏洞就是一個典型的例子,IIS4.0/5.0在Unicode字符解碼的實現(xiàn)中存在安全漏洞,用戶可以利用該漏洞通過IIS遠程執(zhí)行任意命令。(4)數(shù)據(jù)驅(qū)動的遠程代碼執(zhí)行安全漏洞。針對這類漏洞的攻擊行為包括緩沖區(qū)溢出、不安全指針、格式化字符等遠程滲透攻擊。通過這類漏洞,攻擊者能在Web服務(wù)器上直接獲得遠程代碼的執(zhí)行權(quán)限,并能以較高的權(quán)限執(zhí)行命令。IIS服務(wù)器在6.0以前的多個版本中就存在大量這種安全漏洞,如著名的數(shù)據(jù)塊編碼堆溢出漏洞等。IIS6.0以后的版本雖然在安全性方面有了大幅度的提升,但是仍存在這類安全漏洞。通過上面介紹的這些Web服務(wù)器軟件安全漏洞,攻擊者可以在Web服務(wù)器軟件層面對目標Web站點實施攻擊。攻擊者可以在相關(guān)網(wǎng)站上

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論