眾所周知,服務(wù)器可以說是支撐整個互聯(lián)網(wǎng)的基石。隨著信息化的深入,企業(yè)IT業(yè)務(wù)的開展離不開服務(wù)器的有力支持。但是,服務(wù)器也存在一定的安全隱患和漏洞,這些漏洞就是服務(wù)器安全的潛在隱患,會導(dǎo)致核心機密數(shù)據(jù)的丟失。那么,服務(wù)器存在哪些隱患和漏洞需要我們引起關(guān)注呢?
1.拒絕服務(wù)
拒絕服務(wù)出現(xiàn)的原因比較多,其中超長HTTP Header域、特殊目錄、畸形HTTP Header域、DOS設(shè)備文件以及超長URL這些都是。如果高防服務(wù)器在處理這些特殊請求的時候處理不當(dāng),是會出現(xiàn)掛起或是終止的情況。
2.執(zhí)行任意命令
這種情況有兩種:一種是高防服務(wù)器把用戶提交的請求作為SSI指令解析,所以導(dǎo)致出現(xiàn)執(zhí)行任意命令的現(xiàn)象;還有一種就是通過遍歷目錄。
3.SQL注入
這個是由于它的漏洞在編程過程中造成的。后臺數(shù)據(jù)庫允許動態(tài)SQL語句的執(zhí)行,前臺后臺數(shù)據(jù)庫允許動態(tài)SQL語句的執(zhí)行。前臺應(yīng)用程序是沒有對用戶輸入的數(shù)據(jù)了或者頁面提交的信息(如POST, GET)進(jìn)行必要的安全檢查。數(shù)據(jù)庫都是自身的特性造成的。基本上所有的關(guān)系數(shù)據(jù)庫系統(tǒng)和相應(yīng)的SQL語言都面臨SQL注入的潛在威脅的。
4.目錄遍歷
對服務(wù)器來說目錄遍歷其實不常見,通過對任意目錄附加“../”,或者是在有比較特殊意義的目錄附加“../”,或者是附加“../”的一些變形,如“..”或“..//”甚至其編碼都可能導(dǎo)致目錄遍歷。前一種情況不合適經(jīng)常出現(xiàn)的,但是后面的幾種情況就是比較常見的了。
5.緩沖區(qū)溢出
緩沖區(qū)溢出漏洞應(yīng)該是我們比較常見的,這個也就是高防服務(wù)器沒有對用戶提交的超長請求沒有進(jìn)行合適的處理,超長HTTP Header域,或者是其它超長的數(shù)據(jù)。這種漏洞可能會導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)這一般的取決于構(gòu)造的數(shù)據(jù)。
我們的優(yōu)勢:
炫億時代專業(yè)IT服務(wù)解決方案提供商,IT信息化建設(shè)專業(yè)提供商;覆蓋全國的服務(wù)網(wǎng)絡(luò),為客戶提供貼身服務(wù)。
聯(lián)系我們:
企業(yè)通訊