对于web应用编程中,有许多重用的代码或库文件,但是这些代码或库可能不是那么可靠,存在缺陷。
在默认安装web服务器时,一般都会包含样例程序和帮助脚本及文档,但由于历史原因,这种做法其实是应当避免的。
如何使用这种攻击?
安装web服务器时和开发过程的结尾。
安装web服务器和应用程序的运行环境,需要知道web服务器上安装了那些代码,以保证所攻击的漏洞没有被这些代码补上。
开发过程的结尾,即服务器即将启用的时候,需要仔细审查所使用的共享及第三方组件,以确保这些组件的安全性。
如何实施这种攻击?
通过订阅和这些漏洞有关的邮件列表和新闻组来了解这些公共组件公开的bug。通常详尽的新闻组信息会给出问题的很多细节和对其进行攻击的方法。
要鉴别应用程序中使用的第三方组件(了解是否有更新、是否对某种攻击比较敏感、是否有过严重的安全问题?)
在使用共享的或第三方组件的时候,必须对组件的数据输入和输出进行检查、测试确认。
无法确定服务器上安装了一些什么时,可以使用开源工具Nikto来进行检测,以确定漏洞的所在,但是因为一些常规的出错页面或是服务器的配置问题,这个工具也可能返回很多的错误结果,这一点需要注意。
如何防范这种攻击?
防范这种攻击的方法之一是确保只安装了最基本的web服务器(和操作系统),并且绝不使用任何共享的第三方组件。在使用共享的主机环境的条件下,这么做一般是不可行的,而且还要受到开发人员的能力、时间、预算等很多因素的限制(购买或使用现成的方案往往比自己开发要廉价)。
寻找组件的问题是很重要的,包括web服务器和所安装的组件。另外,需要及时了解邮件列表和新闻组,并尽量使用像IISLockdown这样的工具来实现良好的服务器管理。
【说明】以上来自《web入侵安全与对策》一书学习笔记及摘录整理汇总,特此说明!
扫一扫
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
