Web服务器常见的几种Web安全漏洞

Admin 2020-05-02 151人围观 ,发现0个评论 常见Web安全漏洞

物理路径泄漏

物理路径泄漏通常是由Web服务器处理用户请求中的错误引起的,例如,提交超长请求或精心构造的特殊请求,或者请求没有 存在文件。 这些请求具有一个共同的功能,即所请求的文件必须属于CGI脚本,而不是静态HTML页面。  

Web服务器常见的几种Web安全漏洞 Web安全 第1张

目录遍历

对于Web服务器,通过在任何目录后附加“ ../”或将“ ../”附加至具有特殊含义的目录“, 带有“ ../”或“ .. \”或“ ..//”甚至其编码的变体可能导致目录遍历。前一种情况并不少见,但后一种情况更常见。  

执行任何命令

执行任何命令是执行任何操作系统命令,主要包括两种情况:一种是以前流行的IIS二级解码漏洞和Unicode解码漏洞。 通过遍历目录执行系统命令,例如上述的二次解码和UNICODE解码漏洞;另一个是Web服务器将用户提交的请求解析为SSI指令,从而导致执行任意命令。  

缓冲区溢出

缓冲区溢出vulnera 能力必须是每个人都熟悉的,但是Web服务器不能正确处理用户提交的超长请求。 这样的请求可能包括超长URL,超长HTTP标头域或其他超长数据。 此类漏洞可能导致执行任意命令或拒绝服务,这通常取决于构造的数据。  

拒绝服务

拒绝服务的原因多种多样,主要包括超长URL,特殊目录,超长HTTP标头域,格式错误的HTTP标头域或DOS设备文件。 由于在处理这些特殊请求时Web服务器不堪重负或处理不当,因此错误终止或挂起。  

 SQL注入

Web服务器常见的几种Web安全漏洞 Web安全 第2张

 SQL注入的漏洞是在编程过程中引起的。 后端数据库允许执行动态SQL语句。 前台应用程序不对用户输入的数据或页面上提交的信息(例如POST,GET)执行必要的安全检查。 数据库本身的特性与Web程序的编程语言无关。 几乎所有关系数据库系统和相应的SQL语言都面临SQL注入的潜在威胁。  

条件竞争

这里的条件竞争主要针对某些管理服务器。 这样的服务器通常以系统或根目录运行。 当它们需要使用一些临时文件时,但在写入这些文件之前,不检查文件的属性,这通常可能导致重要系统文件的重写,甚至获得系统的控制权。  

 CGI漏洞

通过CGI脚本存在的安全漏洞,例如公开敏感信息,默认情况下未关闭某些常规服务,使用某些服务漏洞执行命令以及应用程序具有远程功能 溢出的非通用CGI程序中的编程漏洞。  

 SSI注入的全名是“服务器端包含注入”,即服务器包含注入。  SSI与CGI相似,用于动态页面指令。  SSI注入允许脚本在Web应用程序中远程执行以执行代码。

请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客