用Apache的CGI封装器来加强安全性(转)

最新推荐文章于 2024-08-15 01:26:58 发布
最新推荐文章于 2024-08-15 01:26:58 发布
阅读量100 收藏
点赞数
文章标签: 数据库
用Apache的CGI封装器来加强安全性(转)[@more@]

如果要加强Apache服务器的安全性,就应该检查CGI(公共网关接口)的使用。一个应用程序中的漏洞通常在用户接触数据库时的某个地方暴露出来,而这个地方正是CGI。它是Web服务器和外部程序之间的桥梁,用来告知这些程序该如何执行以满足浏览器的需求。CGI控制着两个方向的数据格式。它是一个协议,而不是一种语言,可以用很多方法来实现。

寻找安全漏洞

CGI脚本的一个大问题是服务器的默认设置很容易被利用。下面一些是最危险的:

*

以Web服务器用户运行。默认地,所有的 CGI脚本以相同的用户身份运行,即Web服务器本身。虽然这看起来像一个安全性的大敌,却是有意义的。CGI脚本控制着拥护和服务器之间的接口,因此这些脚本需要不同的文件访问权限。给所有的脚本以Web服务器本身的权限,然后再由管理员逐个程序来限制,这样的默认设置简单明了。问题是,管理员永远也完成不了这些限制工作。

*

脚本目录很容易被找到。导致脚本易于被访问和操纵。服务器上默认存放CGI脚本的目录是cgi-bin。如果黑客知道了脚本的位置,就等于拥有了打开宝藏库的钥匙。

*

扩展名众所周知。默认的,CGI脚本扩展名为.cgi。Apache服务器将所有扩展名为.cgi的文件都当作CGI来处理。如果整个服务器都这样通过扩展名来识别脚本而且不将脚本限制在某个目录中的话,黑客就可以运行未经授权的CGI脚本而不需要经过管理员的允许。

紧密封装起来

CGI脚本嵌入在Web应用程序中,带着用户直接进入服务器内部,在这里脚本拥有权限,能够访问服务器资源,恶意的用户会滥用这些权限。但是你可以在此增加一层保护层,办法是将CGI脚本封装隔离起来,从而使CGI脚本、应用程序以及用户无法利用服务器的设置缺陷。封装器可以拥有访问CGI脚本所必须的权限和资源,这样黑客最多只能拥有封装器的权限和资源,而不是脚本本身。

SuEXEC可以解决大多数问题

Switch User for Exec(suEXEC)是一个用来对付很多CGI危险的管理工具。它允许服务器管理员以用户而不是Web服务器用户身份运行CGI脚本。一个用户的程序将以其ID运行。使用CGI脚本的应用程序就能被限制在它们特定的用户环境下。

这就解决了权限问题。你已经有效地创建了一个封装,将用户与系统root权限隔离起来。另外,每次有脚本运行时,suEXEC包装器都将检查其安全性,动态验证程序调用、用户、文件位置和权限,以及所有由管理员定义的东西。

启用suEXEC

从1.2版开始,suEXEC成为Apache的一部分。1.3.x版本以后,它的启用成为Apache配置的一部分内容,键入以下命令:

enable-suexec

指定名字和路径(区别于用户路径)也很简单:

suexec-

caller=USERNAME

suexec-docroot=DIR (default is htdocs)

你可以设置其他参数来加强用户ID的安全性。这包括设置合法的文件路径、用户ID限制以及合法的用户根目录。更多请参考文档说明。

其它CGI包装器

一个名为FastCGI的基于库的包装器也是一种选择。它更像一个对付黑客面向程序员的工具而不是一个管理员工具。FastCGI扩展了CGI规范,提供了包含安全I/O方法的程序插件。这就允许开发者可以将使用其他方法来加强CGI脚本安全性,例如调整内存段的使用以防其被误用。

CGIWrap在Web服务器和可执行程序之间建立了一个附加层,它与suEXEC在很多方面相似,例如以非Web服务器用户身份运行CGI脚本。它也在每个脚本运行时进行安全性检查。

使用别名

可以通过为脚本目录起晦涩难懂的名字来阻止恶意用户查询CGI脚本。除了cgi-bin目录,服务器不会执行其它目录下的CGI脚本。但是使用别名,就可以隐藏它。在配置文件httpd.conf中这样做:

ScriptAlias? /cgi-bin/? "/alternate_directory/cgi-bin/"

这就使得服务器将这个替换目录中的文件作为CGI脚本对待,而正常情况下服务器只认cgi-bin目录下的文件。当然要确保限制用户访问这个目录,否则用户能够通过root权限将自己的CGI脚本放进这个目录,而服务器还会允许其执行。

名字包含什么意思

另一个CGI默认设置是服务器被动地假定任何CGI脚本(例如,扩展名为.cgi的文件)在所有Web服务器可以访问的目录下都是可以使用的。(这种情况只在已经启用了用这种方式鉴别CGI脚本的处理器才会出现,设置于httpd.conf。)

使 CGI在特定目录执行比在整个服务器中都可以执行要容易。只需为每个可以执行脚本的目录的Options添加ExecCGI就行。这样,就为特定用户和程序限制了CGI脚本的I/O和资源分配。记住这种功能是一把双刃剑,粗心大意的使用会给黑客入侵提供有效的途径,如同正确使用可以阻止他们一样

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8225414/viewspace-937276/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/8225414/viewspace-937276/

congjukun0600
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CGI安全概述
孤独是一种感觉
02-13 902
1.什么是CGI?  不要奇怪,有相当一部分人对CGI的概念还比较模糊,他们眼中的CGI就是Perl CGI,其实CGI是Common Gateway Interface(公用网关接口)的简称,并不特指一种语言。事实上,几乎任何支持标准输入输出的语言都可以称为CGI语言,如Perl,Php,C,VC++等都可以称为CGI语言。  2.什么是CGI安全?  这里所说的CGI安全,主要包括两个方面,一
CGI 安全问题
pcxjx的专栏
03-12 1177
作 者: Jeffry Dwight在计算机领域——尤其在Internet上——尽管大部分Web服务器所编的程序都尽可能保护自己的内容不受侵害,但只要CGI脚本中有一点安全方面的失误--口令文件、私有数据、以及任何东西,就能使入侵者能访问计算机。遵循一些简单的规则并保持警惕能使自己的CGI脚本免受侵害,从而可以保护自己的权益。 1. 脚本和程序 在开始决定采
我说说apache数据库结果集的封装
小学生
08-19 1404
  学习java免不了和数据库打交道。下面我介绍下apache的一个类库,很好用的,没那么多的get和set了,因为我们知道使用javabean来对数据库中的字段进行封装保存,取出免不了get,设置又要set。而今天这个类库就不用,他就是 commons-dbutils-1.1.jar,也不知道大家有没有用过的,心得大家一块分享下。首先我们先看一个我们常规的得到查询数据库所得到的ResultSet
不要滥用OO
SilverBullet
03-07 422
近期想把自己所做的任务的共用部分抽象出来,做成通用的基类。这样就能把不同数据集,不同模型集成到一个统一的框架中,提高开发效率,规范开发标准,提高代码可读性。 但是在设计其中一个数据集基类时遇到一个问题。 由于所有的数据集类都符合下面的流程:解析标注文件->解析数据文件。用户需要手动控制解析数据文件的时机,因此我想把解析标注文件的工作放到基类中。即基类有一个抽象方法parse_ann_file...
CGI介绍及使用Python来开发CGI应用示例
04-09
### CGI介绍及使用Python来开发CGI应用示例 #### 引入 随着Web技术的发展,Web应用程序变得越来越复杂和高效。在这个过程中,CGI(Common Gateway Interface,通用网关接口)作为早期的一种用于处理动态网页的技术...
Windows下仿造Apache Web Server
11-07
本项目的目标是实现一个类似的服务器,特别是在Windows环境下,通过使用I/O完成端口(IOCP)技术来提高性能。 IOCP,全称为Input/Output Completion Port,是Windows系统提供的一种高效率的异步I/O模型。在Web...
java多线程tcpsocketserver源码-os-libfcgi:libfcgi封装
06-05
这些特性有助于进一步优化服务器性能,增强系统的稳定性和安全性。 总的来说,Java多线程TCP Socket服务器结合OS-LibFCGI库,能够实现高效、灵活的网络服务,特别是在处理Web应用动态内容请求时,能有效减轻Web...
PHP电子商务网站的exe程序,仅包含可执行文件
03-26
...它通常与Apache或Nginx等Web服务器配合,通过解释器处理PHP代码并生成HTML内容。...这种做法可以简化用户的使用流程,提高软件的分发效率,但也需要开发者具备全面的技术栈和安全意识,以确保程序的稳定性和安全性
网上书店系统.docx
10-22
网上书店系统可能包括用户注册、登录、浏览书籍、添加到购物车、支付等功能,这些功能可以通过Struts框架的控制器组件来实现,而视图层则可以使用JSP来展示,业务逻辑则封装在Java类中。 总的来说,Java、JSP和...
CGI漏洞利用
热门推荐
矿野上的脚印
07-18 1万+
CGI漏洞利用CGI漏洞是网管最容易乎视的地方,就我测试的这个网站上的漏洞, 我简单说一下,几个常见的漏洞地方。一般原理,解决方法,如果没有写全,请参考一些文献。 1,名字:?PageServices漏洞 这个漏洞是很多网站都有的。但是有好多人扫描出来确不知道如何运用,在此我简单谈一下吧,! 这个是可以显示页面清单的 方法是url/?PageServices 还可以这样试试 ! /?wp-cs-d
基于WEB服务器CGI接口实现留言板功能
Dreaming_terry的博客
12-06 2246
WEB服务器CGI接口功能的实现
CGI漏洞速查二
|独自望海。。。
09-28 2110
 php.cgi程序有较多的漏洞,包括缓存溢出漏洞,还有导致任 何系统文件可以被入侵者读取的漏洞 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。解决方法: 删除php.cgi程序是最好的办法。 12.handler 描述: IRIX 5.3, 6.2, 6.3, 6.4的/cgi-bin/handler程序存在缓存 溢出错误,允许入侵者在server上远程执行一段程序
网络扫描器的设计与实现
tjgoahead的专栏
11-13 2386
网络扫描器的设计与实现   来源:网络收集  整理日期:08月25日 19:34                                                载 学新网:studynew.com
滥用error_reporting之大坑
一边敲代码,一边思考人生...
09-05 1343
写了一个脚本,批量输出静态内容。按照惯例,先require配置文件、公共文件,然后编码我的业务逻辑。 很顺利地写完了,调试的时候发现脚本毫无提示地异常地中断了,仔细看了一下代码,原来是一个函数未定义,但是为什么不会报错呢?我查看了php的配置display_error是打开的,而且我还设置了error_reporting(7),但是函数未定义的错误还是不会报,但如果在哪条语句后面没有加上分号却是
运维安全之Apache(CGI&SSI&.htaccess)安全隐患
ru_li的专栏
05-07 830
Apache默认配置支持解析CGI (Common Gateway Interface) (仅cgi-bin目录),不解析SSI(Server Side Includes)和.htaccess。当配置不当时,可能导致系统命令执行。本文由腾讯安全应急响应中心的Mark4z5同学通过实验来探讨开启解析CGI/SSI/.htaccess的危害以及安全建议。 一、安装实验环境 二、解析...
webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构
最新发布
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-15 178
【代码】webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构。
Apache配置全解析:CGI与PHP设置指南
在理解并修改Apache配置时,一定要谨慎,因为不正确的配置可能会导致服务器无法启动或者安全性降低。在进行任何更改后,记得重启Apache服务器以应用新的配置。 Apache配置是一门深奥的艺术,它允许用户按照需求定制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值