堵塞Web漏洞（上）

1、服務器向公眾提供了不應該提供的服務。

2、服務器把本應私有的數據放到了公開訪問的區域。

3、服務器信賴了來自不可信賴數據源的數據。

顯然，許多服務器管理員從來沒有從另一個角度來看看他們的服務器，例如使用端口掃描程序。如果他們曾經這樣做了，就不會在自己的系統上運行那么多的服務，而這些服務原本無需在正式提供Web服務的機器上運行，或者這些服務原本無需面向公眾開放。

與這種錯誤經常相伴的是，為了進行維護而運行某些不安全的、可用于竊取信息的協議。例如，有些Web服務器常常為了收集訂單而提供POP3服務，或者為了上載新的頁面內容而提供FTP服務甚至數據庫服務。在某些地方這些協議可能提供安全認證(比如APOP)甚至安全傳輸(比如POP或者FTP的SSL版本)，但更多的時候，人們使用的是這些協議的非安全版本。有些協議，比如Msql數據庫服務，則幾乎沒有提供任何驗證機制。

從公司外面訪問自己的網絡，完整地檢測、模擬攻擊自己的網站看看會發生些什么，這對于Web管理者來說是一個很好的建議。有些服務在機器安裝之后的默認配置中已經啟動，或者由于安裝以及初始設置的需要而啟動了某些服務，這些服務可能還沒有正確地關閉。例如，有些系統提供的Web服務器會在非標準的端口上提供編程示范以及系統手冊，它們往往包含錯誤的程序代碼并成為安全隱患所在。正式運行的、可從Internet訪問的Web服務器不應該運行這些服務，請務必關閉這些服務。

9.1Web服務器常見漏洞介紹

我們的目的就是向大家介紹Web服務器的常見漏洞，相信看了自己也能試著發現一些Web服務器的漏洞了。不過需要記住的是，不要為了尋找漏洞而尋找漏洞。另外，即使你找到了漏洞，是否能夠利用還是另外一回事。

Web服務器存在的主要漏洞包括物理路徑泄露，CGI源代碼泄露，目錄遍歷，執行任意命令，緩沖區溢出，拒絕服務，條件競爭和跨站腳本執行漏洞，和CGI漏洞有些相似的地方，但是更多的地方還是有著本質的不同。不過無論是什么漏洞，都體現著安全是一個整體的真理，考慮Web服務器的安全性，必須要考慮到與之相配合的操作系統。

9.1.1物理路徑泄露

物理路徑泄露一般是由于Web服務器處理用戶請求出錯導致的，如通過提交一個超長的請求，或者是某個精心構造的特殊請求，亦或是請求一個Web服務器上不存在的文件。這些請求都有一個共同特點，那就是被請求的文件肯定屬于CGI腳本，而不是靜態HTML頁面。

還有一種情況，就是Web服務器的某些顯示環境變量的程序錯誤的輸出了Web服務器的物理路徑，這應該算是設計上的問題。

9.1.2目錄遍歷

目錄遍歷對于Web服務器來說并不多見，通過對任意目錄附加“../”，或者是在有特殊意義的目錄附加“../”，或者是附加“../”的一些變形，如“..\”或“..//”甚至其編碼，都可能導致目錄遍歷。前一種情況并不多見，但是后面的幾種情況就常見得多，去年非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。

9.1.3執行任意命令

執行任意命令即執行任意操作系統命令，主要包括兩種情況。一是通過遍歷目錄，如前面提到的二次解碼和UNICODE解碼漏洞，來執行系統命令。另外一種就是Web服務器把用戶提交的請求作為SSI指令解析，因此導致執行任意命令。

9.1.4緩沖區溢出

緩沖區溢出漏洞想必大家都很熟悉，無非是Web服務器沒有對用戶提交的超長請求沒有進行合適的處理，這種請求可能包括超長URL，超長HTTPHeader域，或者是其它超長的數據。這種漏洞可能導致執行任意命令或者是拒絕服務，這一般取決于構造的數據。

9.1.5拒絕服務

拒絕服務產生的原因多種多樣，主要包括超長URL，特殊目錄，超長HTTPHeader域，畸形HTTPHeader域或者是DOS設備文件等。由于Web服務器在處理這些特殊請求時不知所措或者是處理方式不當，因此出錯終止或掛起。

9.1.6條件競爭

這里的條件競爭主要針對一些管理服務器而言，這類服務器一般是以System或Root身份運行的。當它們需要使用一些臨時文件，而在對這些文件進行寫操作之前，卻沒有對文件的屬性進行檢查，一般可能導致重要系統文件被重寫，甚至獲得系統控制權。

9.2CGI的安全性

現在我們來談談到底什么是CGI(CommonGateIntergace)。在物理上，CGI是一段程序，它運行在Server上，提供同客戶段Html頁面的接口。這樣說大概還不好理解。那么我們看一個實際例子：現在的個人主頁上大部分都有一個留言本。留言本的工作是這樣的：先由用戶在客戶段輸入一些信息，如名字之類的東西。接著用戶按一下“留言”(到目前為止工作都在客戶端)，瀏覽器把這些信息傳送到服務器的CGI目錄下特定的CGI程序中，于是CGI程序在服務器上按照預定的方法進行處理。在本例中就是把用戶提交的信息存入指定的文件中。然后CGI程序給客戶端發送一個信息，表示請求的任務已經結束。此時用戶在瀏覽器里將看到“留言結束”的字樣。整個過程結束。

CGI是一種共用網關接口，它可以稱之為一種機制.因此您可以使用不同的程序編寫適合的CGI程序，這些程序語言包括VisualBasic、Delphi或C/C++等，您將已經寫好的程序放在Web服務器的計算機上運行，再將其運行結果通過Web服務器傳輸到客戶端的瀏覽器上。事實上，這樣的編制方式比較困難而且效率低下，因為你每一次修改程序都必須重新將CGI程序編譯成可執行文件。

9.2.1為什么使用CGI

CGI可以為我們提供許多HTML無法做到的功能，比如：

1、一個記數器

2、顧客信息表格的提交以及統計

3、搜索程序

4、Web數據庫

用HTML是沒有辦法記住客戶的任何信息的，就算用戶愿意讓你知道。用HTML也是無法把信息記錄到某一個特定文件里的。要把客戶段的信息記錄在服務器的硬盤上，就要用到CGI。這是CGI最重要的作用，它補充了HTML的不足。是的，僅僅是補充，不是替代。

9.2.2CGI安全問題

在計算機領域——尤其在Internet上——盡管大部分Web服務器所編的程序都盡可能保護自己的內容不受侵害，但只要CGI腳本中有一點安全方面的失誤——口令文件、私有數據、以及任何東西，就能使入侵者能訪問計算機。遵循一些簡單的規則并保持警惕能使自己的CGI腳本免受侵害，從而可以保護自己的權益。這里所說的CGI安全，主要包括兩個方面，一是Web服務器的安全，一是CGI語言的安全

先從CGI問題的分類開始談起，一般來說，CGI問題主要有以下幾類：

1、暴露敏感或不敏感信息；

2、缺省提供的某些正常服務未關閉；

3、利用某些服務漏洞執行命令；

4、應用程序存在遠程溢出；

5、非通用CGI程序的編程漏洞。

下面我們就來詳細介紹一下關于CGI的漏洞：

●配置錯誤

這里所說的配置錯誤主要指CGI程序和數據文件的權限設置不當，這可能導致CGI源代碼或敏感信息泄露。還有一個經常犯的錯誤就是安裝完CGI程序后沒有刪除安裝腳本，這樣攻擊者就可能遠程重置數據。前些日子“XX大聯盟”論壇多次被黑就是這個低級錯誤所致。

●邊界條件錯誤

這個錯誤主要針對C語言編寫的CGI，利用這個錯誤，攻擊者可能發起緩沖區溢出攻擊，從而提升權限。

●訪問驗證錯誤

這個問題主要是因為用于驗證的條件不足以確定用戶的身份而造成的，經常會導致未經授權訪問，修改甚至刪除沒有訪問權限的內容。用于確定用戶身份的方法一般有兩種，一是賬號和密碼，一是Session認證。而不安全的認證方法包括Userid認證，Cookie認證等等。

●來源驗證錯誤

比較常見的利用這種錯誤進行攻擊的方法就是DoS，也就是拒絕服務攻擊，如我們知道的灌水機，就是利用CGI程序沒有對文章的來源進行驗證，從而不間斷的發文章，最后導致服務器硬盤充滿而掛起。

●輸入驗證錯誤

這種錯誤導致的安全問題最多，主要是因為沒有過濾特殊字符。比如說，沒有過濾“%20”造成的畸形注冊，沒有過濾“../”經常造成泄露系統文件，沒有過濾“$”經常導致泄露網頁中的敏感信息，沒有過濾“;”經常導致執行任意系統指令，沒有過濾“|”或“\t”經常導致文本文件攻擊，沒有過濾“’”和“#”經常導致SQL數據庫攻擊，沒有過濾“<”和“>”導致的Cross-SiteScripting攻擊等。

●意外情況處理失敗

這種錯誤也很常見，如沒有檢查文件是否存在就直接打開設備文件導致拒絕服務，沒有檢查文件是否存在就打開文件提取內容進行比較而繞過驗證，上下文攻擊導致執行任意代碼等。

●策略錯誤

這種錯誤主要是由于編制CGI程序的程序員的決策造成的。如原始密碼生成機制脆弱導致窮舉密碼導致在Cookie中明文存放賬號密碼導致敏感信息泄露，使用與CGI程序不同的擴展名擴展名存儲敏感信息導致該文件被直接下載，丟失密碼模塊在確認用戶身份之后直接讓用戶修改密碼而不是把密碼發到用戶的注冊信箱，登陸時采用賬號和加密后的密碼進行認證導致攻擊者不需要知道用戶的原始密碼就能夠登陸等。

●習慣問題

程序員的習慣也可能導致安全問題，如使用某些文本編輯器修改CGI程序時，經常會生成“.bak”文件，如果程序員編輯完后沒有刪除這些備份文件，則可能導致CGI源代碼泄露。另外，如果程序員總喜歡把一些敏感信息(如賬號密碼)放在CGI文件中的話，只要攻擊者對該CGI文件有讀權限(或者利用前面介紹的一些攻擊方法)就可能導致敏感信息泄露。

●使用錯誤

主要是一些函數的使用錯誤，如Perl中的“die”函數，如果沒有在錯誤信息后面加上“\n”的話，就極可能導致物理路徑泄露。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]