應用服務器安全防範技術(ppt 45頁)

應用服務器安全防範技術目錄：
一、常規的WEB服務器入侵方法
二、WEB應用程序漏洞掃描和評估
三、FTP服務器入侵分析

應用服務器安全防範技術內容提要：
WEB服務器存在的主要漏洞包括物理路徑泄露，CGI源代碼泄露，目錄遍曆，執行任意命令，緩衝區溢出，拒絕服務，條件競爭和跨站腳本執行漏洞，和CGI漏洞有些相似的地方，但是更多的地方還是有著本質的不同。不過無論是什麼漏洞，都體現著安全是一個整體的真理，考慮WEB服務器的安全性，必須要考慮到與之相配合的操作係統。
【物理路徑泄露】
物理路徑泄露一般是由於WEB服務器處理用戶請求出錯導致的，如通過提交一個超長的請求，或者是某個精心構造的特殊請求，亦或是請求一個WEB服務器上不存在的文件。這些請求都有一個共同特點，那就是被請求的文件肯定屬於CGI腳本，而不是靜態HTML頁麵。
還有一種情況，就是WEB服務器的某些顯示環境變量的程序錯誤的輸出了WEB服務器的物理路徑，這應該算是設計上的問題。
【 CGI源代碼泄露】
CGI源代碼泄露的原因比較多，例如大小寫，編碼解碼，附加特殊字符或精心構造的特殊請求等都可能導致CGI源代碼泄露。
【目錄遍曆】
目錄遍曆對於WEB服務器來說並不多見，通過對任意目錄附加“../”，或者是在有特殊意義的目錄附加“../”，或者是附加“../”的一些變形，如“..\”或“..//”甚至其編碼，都可能導致目錄遍曆。前一種情況並不多見，但是後麵的幾種情況就常見得多，去年非常流行的IIS二次解碼漏洞和UNICODE解碼漏洞都可以看作是變形後的編碼。

..............................