發(fā)布時間:2017-04-17 作者:admin
小的時候我們就學(xué)過亡羊補(bǔ)牢的故事����,從中得到啟發(fā),但是在真正做事的時候這點(diǎn)道理還是沒有很好的應(yīng)用���,而如今面對的服務(wù)器主機(jī)租用業(yè)務(wù)���,它的安全更加需要專人的維護(hù)����,所有可能發(fā)生的網(wǎng)絡(luò)安全要提前預(yù)防���。
網(wǎng)絡(luò)安全這個詞可以說一直都是很熱的話題,通常和黑客等詞語放在一起使用�����,無論是說是站在國家的角度還是企業(yè)的角度,網(wǎng)絡(luò)安全因素都值得我們注重�。
從事實上���,自從2013年斯諾登事件以來����,不斷有類似的新聞報道�����,似乎中國每次都是“躺槍”。不過���,不像當(dāng)時斯諾登事件一石激起千層浪�,現(xiàn)在對于企業(yè)來說平時的主機(jī)租用方面�����,更重要的是安全方面面��,如何安全�����?需要各個方面的配合���。
主機(jī)租用安全隱患
網(wǎng)絡(luò)方面的東西��,不能說絕對的安全,在某個時候可能因為操作不當(dāng)����,問題沒有及時處理,造成嚴(yán)重的后果�����,服務(wù)器主機(jī)租用也不例外���,不過專人的維護(hù)會大大減少這種風(fēng)險����。這里提到服務(wù)器可以和操作系統(tǒng)進(jìn)行結(jié)合����。
1、物理路徑泄露
物理路徑泄露一般是由于Web服務(wù)器處理用戶請求出錯導(dǎo)致的,如通過提交一個超長的請求���,或者是某個精心構(gòu)造的特殊請求��,或是請求一個Web服務(wù)器上不存在的文件���。這些請求都有一個共同特點(diǎn)���,那就是被請求的文件肯定屬于CGI腳本,而不是靜態(tài)HTML頁面���。
還有一種情況��,就是Web服務(wù)器的某些顯示環(huán)境變量的程序錯誤的輸出了Web服務(wù)器的物理路徑���,這應(yīng)該算是設(shè)計上的問題。
2���、目錄遍歷
目錄遍歷對于Web服務(wù)器來說并不多見�����,通過對任意目錄附加“../”��,或者是在有特殊意義的目錄附加“../”���,或者是附加“../”的一些變形��,如“..”或“..//”甚至其編碼�����,都可能導(dǎo)致目錄遍歷��。前一種情況并不多見�����,但是后面的幾種情況就常見得多��,以前非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。
3���、執(zhí)行任意命令
執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令�����,主要包括兩種情況����。一是通過遍歷目錄��,如前面提到的二次解碼和UNICODE解碼漏洞�����,來執(zhí)行系統(tǒng)命令���。另外一種就是Web服務(wù)器把用戶提交的請求作為SSI指令解析���,因此導(dǎo)致執(zhí)行任意命令。
4����、緩沖區(qū)溢出
緩沖區(qū)溢出漏洞想必大家都很熟悉����,無非是Web服務(wù)器沒有對用戶提交的超長請求沒有進(jìn)行合適的處理�,這種請求可能包括超長URL,超長HTTP Header域����,或者是其它超長的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)�,這一般取決于構(gòu)造的數(shù)據(jù)。
5��、拒絕服務(wù)
拒絕服務(wù)產(chǎn)生的原因多種多樣�,主要包括超長URL,特殊目錄����,超長HTTP Header域�,畸形HTTP Header域或者是DOS設(shè)備文件等。由于Web服務(wù)器在處理這些特殊請求時不知所措或者是處理方式不當(dāng)��,因此出錯終止或掛起����。
6����、SQL注入
SQL注入的漏洞在編程過程造成的�����。后臺數(shù)據(jù)庫允許動態(tài)SQL語句的執(zhí)行�����。前臺應(yīng)用程序沒有對用戶輸入的數(shù)據(jù)或者頁面提交的信息(如POST�, GET)進(jìn)行必要的安全檢查。數(shù)據(jù)庫自身的特性造成的�,與web程序的編程語言的無關(guān)。幾乎所有的關(guān)系數(shù)據(jù)庫系統(tǒng)和相應(yīng)的SQL語言都面臨SQL注入的潛在威脅 ����。
7、條件競爭
這里的條件競爭主要針對一些管理服務(wù)器而言�,這類服務(wù)器一般是以System或Root身份運(yùn)行的。當(dāng)它們需要使用一些臨時文件��,而在對這些文件進(jìn)行寫操作之前����,卻沒有對文件的屬性進(jìn)行檢查���,一般可能導(dǎo)致重要系統(tǒng)文件被重寫,甚至獲得系統(tǒng)控制權(quán)��。
8��、CGI漏洞
通過CGI腳本存在的安全漏洞�����,比如暴露敏感信息�、缺省提供的某些正常服務(wù)未關(guān)閉、利用某些服務(wù)漏洞執(zhí)行命令�����、應(yīng)用程序存在遠(yuǎn)程溢出�����、非通用CGI程序的編程漏洞��。
如今沒有絕對的安全���,更好的方式是進(jìn)行安全方面的防御����,抵御可能發(fā)生的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)時間���。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
