簡(jiǎn)述:小的時(shí)候我們就學(xué)過亡羊補(bǔ)牢的故事,從中得到啟發(fā),但是在真正做事的時(shí)候這點(diǎn)道理還是沒有很好的應(yīng)用,而如今面對(duì)的服務(wù)器主機(jī)租用業(yè)務(wù),它的安全更加需要專人的維護(hù),所有可能發(fā)生的網(wǎng)絡(luò)安全要提前預(yù)防。
小的時(shí)候我們就學(xué)過亡羊補(bǔ)牢的故事,從中得到啟發(fā),但是在真正做事的時(shí)候這點(diǎn)道理還是沒有很好的應(yīng)用,而如今面對(duì)的服務(wù)器主機(jī)租用業(yè)務(wù),它的安全更加需要專人的維護(hù),所有可能發(fā)生的網(wǎng)絡(luò)安全要提前預(yù)防。
網(wǎng)絡(luò)安全這個(gè)詞可以說一直都是很熱的話題,通常和黑客等詞語放在一起使用,無論是說是站在國(guó)家的角度還是企業(yè)的角度,網(wǎng)絡(luò)安全因素都值得我們注重。
從事實(shí)上,自從2013年斯諾登事件以來,不斷有類似的新聞報(bào)道,似乎中國(guó)每次都是“躺槍”。不過,不像當(dāng)時(shí)斯諾登事件一石激起千層浪,現(xiàn)在對(duì)于企業(yè)來說平時(shí)的主機(jī)租用方面,更重要的是安全方面面,如何安全?需要各個(gè)方面的配合。
主機(jī)租用安全隱患
網(wǎng)絡(luò)方面的東西,不能說絕對(duì)的安全,在某個(gè)時(shí)候可能因?yàn)椴僮鞑划?dāng),問題沒有及時(shí)處理,造成嚴(yán)重的后果,服務(wù)器主機(jī)租用也不例外,不過專人的維護(hù)會(huì)大大減少這種風(fēng)險(xiǎn)。這里提到服務(wù)器可以和操作系統(tǒng)進(jìn)行結(jié)合。
1、物理路徑泄露
物理路徑泄露一般是由于Web服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的,如通過提交一個(gè)超長(zhǎng)的請(qǐng)求,或者是某個(gè)精心構(gòu)造的特殊請(qǐng)求,或是請(qǐng)求一個(gè)Web服務(wù)器上不存在的文件。這些請(qǐng)求都有一個(gè)共同特點(diǎn),那就是被請(qǐng)求的文件肯定屬于CGI腳本,而不是靜態(tài)HTML頁面。
還有一種情況,就是Web服務(wù)器的某些顯示環(huán)境變量的程序錯(cuò)誤的輸出了Web服務(wù)器的物理路徑,這應(yīng)該算是設(shè)計(jì)上的問題。
2、目錄遍歷
目錄遍歷對(duì)于Web服務(wù)器來說并不多見,通過對(duì)任意目錄附加“../”,或者是在有特殊意義的目錄附加“../”,或者是附加“../”的一些變形,如“..”或“..//”甚至其編碼,都可能導(dǎo)致目錄遍歷。前一種情況并不多見,但是后面的幾種情況就常見得多,以前非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。
3、執(zhí)行任意命令
執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令,主要包括兩種情況。一是通過遍歷目錄,如前面提到的二次解碼和UNICODE解碼漏洞,來執(zhí)行系統(tǒng)命令。另外一種就是Web服務(wù)器把用戶提交的請(qǐng)求作為SSI指令解析,因此導(dǎo)致執(zhí)行任意命令。
4、緩沖區(qū)溢出
緩沖區(qū)溢出漏洞想必大家都很熟悉,無非是Web服務(wù)器沒有對(duì)用戶提交的超長(zhǎng)請(qǐng)求沒有進(jìn)行合適的處理,這種請(qǐng)求可能包括超長(zhǎng)URL,超長(zhǎng)HTTP Header域,或者是其它超長(zhǎng)的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù),這一般取決于構(gòu)造的數(shù)據(jù)。
5、拒絕服務(wù)
拒絕服務(wù)產(chǎn)生的原因多種多樣,主要包括超長(zhǎng)URL,特殊目錄,超長(zhǎng)HTTP Header域,畸形HTTP Header域或者是DOS設(shè)備文件等。由于Web服務(wù)器在處理這些特殊請(qǐng)求時(shí)不知所措或者是處理方式不當(dāng),因此出錯(cuò)終止或掛起。
6、SQL注入
SQL注入的漏洞在編程過程造成的。后臺(tái)數(shù)據(jù)庫允許動(dòng)態(tài)SQL語句的執(zhí)行。前臺(tái)應(yīng)用程序沒有對(duì)用戶輸入的數(shù)據(jù)或者頁面提交的信息(如POST, GET)進(jìn)行必要的安全檢查。數(shù)據(jù)庫自身的特性造成的,與web程序的編程語言的無關(guān)。幾乎所有的關(guān)系數(shù)據(jù)庫系統(tǒng)和相應(yīng)的SQL語言都面臨SQL注入的潛在威脅 。
7、條件競(jìng)爭(zhēng)
這里的條件競(jìng)爭(zhēng)主要針對(duì)一些管理服務(wù)器而言,這類服務(wù)器一般是以System或Root身份運(yùn)行的。當(dāng)它們需要使用一些臨時(shí)文件,而在對(duì)這些文件進(jìn)行寫操作之前,卻沒有對(duì)文件的屬性進(jìn)行檢查,一般可能導(dǎo)致重要系統(tǒng)文件被重寫,甚至獲得系統(tǒng)控制權(quán)。
8、CGI漏洞
通過CGI腳本存在的安全漏洞,比如暴露敏感信息、缺省提供的某些正常服務(wù)未關(guān)閉、利用某些服務(wù)漏洞執(zhí)行命令、應(yīng)用程序存在遠(yuǎn)程溢出、非通用CGI程序的編程漏洞。
如今沒有絕對(duì)的安全,更好的方式是進(jìn)行安全方面的防御,抵御可能發(fā)生的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)時(shí)間。
騰佑科技(m.mubashirfilms.com)成立于2009年,總部位于河南鄭州,是一家集互聯(lián)網(wǎng)基礎(chǔ)設(shè)施及軟硬件于一體化的高新技術(shù)企業(yè),具有IDC/ISP/ICP/云牌照、雙軟等資質(zhì),并擁有多個(gè)國(guó)家版權(quán)局認(rèn)證。公司自成立以來,一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計(jì)算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務(wù)及行業(yè)客戶技術(shù)一體化智能解決方案;2018年成為百度智能云AI河南服務(wù)中心。
售前咨詢熱線:400-996-8756
備案提交:0371-89913068
售后客服:0371-89913000
搜索詞
熱門產(chǎn)品推薦