web伺服器的常見漏洞
這篇文章的目的就是向大家介紹web伺服器的常見漏洞,相信看了這篇文章自己也能試著發現一些web伺服器的漏洞了。不過需要記住的是,不要為了尋找漏洞而尋找漏洞。另外,即使你找到了漏洞,是否能夠利用還是另外一回事。
web伺服器存在的主要漏洞包括物理路徑洩露,cgi源**洩露,目錄遍歷,執行任意命令,緩衝區溢位,拒絕服務,條件競爭和跨站指令碼執行漏洞,和cgi漏洞有些相似的地方,但是更多的地方還是有著本質的不同。不過無論是什麼漏洞,都體現著安全是乙個整體的真理,考慮web伺服器的安全性,必須要考慮到與之相配合的作業系統。
【cgi源**洩露】
cgi源**洩露的原因比較多,例如大小寫,編碼解碼,附加特殊字元或精心構造的特殊請求等都可能導致cgi源**洩露。
下面是一些示例請求:
【條件競爭】
這裡的條件競爭主要針對一些管理伺服器而言,這類伺服器一般是以system或root身份執行的。當它們需要使用一些臨時檔案,而在對這些檔案進行寫操作之前,卻沒有對檔案的屬性進行檢查,一般可能導致重要系統檔案被重寫,甚至獲得系統控制權。
【跨站指令碼執行漏洞】
跨站指令碼漏洞已經介紹得夠多,這裡就不贅述了,有問題可以參考我以前寫過的一篇文章http://magazine.nsfocus.***/detail.asp?id=1217
Web伺服器常見8種安全漏洞
物理路徑洩露 物理路徑洩露一般是由於web伺服器處理使用者請求出錯導致的,如通過提交乙個超長的請求,或者是某個精心構造的特殊請求,或是請求乙個web伺服器上不存在的檔案。這些請求都有乙個共同特點,那就是被請求的檔案肯定屬於cgi指令碼,而不是靜態html頁 面。目錄遍歷 目錄遍歷對於web伺服器來說...
常見WEB漏洞
目錄 xss 跨站指令碼攻擊 概念 分類儲存型xss 反射型xss dom型xss 黑客通過 html注入 篡改網頁,插入惡意指令碼,當使用者瀏覽網頁時,實現控制使用者瀏覽器行為的一種攻擊方式。利用盜取使用者的cookie,以正常使用者身份來訪問站點 原理主動訪問攜帶xss指令碼的鏈結觸發xss。x...
常見的Web漏洞
經常聽大家提起漏洞,其實漏洞分很多種,今天我來介紹一下常見的web漏洞有哪些吧。介紹 sql注入就是指web應用程式對使用者輸入資料的合法性沒有判斷,前端傳入後端的引數是攻擊者可控的,並且引數代入資料庫查詢,攻擊者可以通過夠在不同的sql語句來實現對是資料庫的任意操作。原理 sql注入漏洞的產生需要...