第18章 攻击Web服务器
18.1 Web服务器配置缺陷
18.1.1 默认证书
18.1.2 默认内容
- 调试功能
- 样本功能
- 强大功能
- JMX
- Oracle应用程序
18.1.3 目录列表
18.1.4 WebDAV方法
18.1.5 Web服务器作为代理服务器
18.1.6 虚拟主机配置缺陷
18.1.7 保障Web服务器配置的安全
18.2 易受攻击的服务器软件
18.2.1 应用程序框架缺陷
18.2.2 内存管理漏洞
- Apache mod_isapi悬挂指针
- Microsoft IIS ISAPI扩展
- Apache分块编码溢出
- WebDAV溢出
18.2.3 编码与规范化漏洞
- Apple iDisk Server路径遍历
- Ruby WEBrick Web服务器
- Java Web服务器目录遍历
- Allaire JRun目录列表漏洞
- Microsoft IIS Unicode路径遍历漏洞
- 避开OraclePL/SQL排除列表
18.2.4 查找Web服务漏洞
18.2.5 保障Web服务器软件的安全
- 选择记录良好的软件
- 应用供应商发布的补丁
- 实施安全强化
- 监控新的漏洞
- 使用深层防御