应用服务器安全防范技术(ppt 45页)

应用服务器安全防范技术目录：
一、常规的WEB服务器入侵方法
二、WEB应用程序漏洞扫描和评估
三、FTP服务器入侵分析

 

应用服务器安全防范技术内容提要：
WEB服务器存在的主要漏洞包括物理路径泄露，CGI源代码泄露，目录遍历，执行任意命令，缓冲区溢出，拒绝服务，条件竞争和跨站脚本执行漏洞，和CGI漏洞有些相似的地方，但是更多的地方还是有着本质的不同。不过无论是什么漏洞，都体现着安全是一个整体的真理，考虑WEB服务器的安全性，必须要考虑到与之相配合的操作系统。
【物理路径泄露】
 物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。
还有一种情况，就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径，这应该算是设计上的问题。
【 CGI源代码泄露】
  CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。
【目录遍历】
    目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“../”，或者是在有特殊意义的目录附加“../”，或者是附加“../”的一些变形，如“..\”或“..//”甚至其编码，都可能导致目录遍历。前一种情况并不多见，但是后面的几种情况就常见得多，去年非常流行的IIS二次解码漏洞和UNICODE解码漏洞都可以看作是变形后的编码。

 

..............................