V9-2 Web服務(wù)器軟件的安全威脅

Web服務(wù)器軟件的安全威脅主講崔升廣一、Web服務(wù)器軟件的安全威脅Web服務(wù)器軟件成為攻擊者攻擊Web應(yīng)用主要原因有以下幾個(gè)方面。（1）Web服務(wù)器軟件存在安全漏洞。（2）Web服務(wù)器管理員在配置Web服務(wù)器時(shí)存在不安全配置。（3）在Web服務(wù)器的管理上沒有做好安全配置。如沒有做到定期下載安全補(bǔ)丁、選用了從網(wǎng)上下載的簡(jiǎn)單的Web服務(wù)器軟件、沒有進(jìn)行嚴(yán)格的口令管理等。一、Web服務(wù)器軟件的安全威脅雖然現(xiàn)在針對(duì)Web服務(wù)器軟件的攻擊行為相對(duì)減少，但是仍然存在，下面列舉幾類目前比較常見的Web服務(wù)器軟件安全漏洞。（1）源代碼泄露安全漏洞。通過這類漏洞，滲透攻擊人員能夠查看到?jīng)]有防護(hù)措施的Web服務(wù)器上的應(yīng)用程序源代碼，甚至可以利用這些漏洞查看到系統(tǒng)級(jí)的文件，如經(jīng)典的IIS上的“+.hr”漏洞。（2）服務(wù)器功能擴(kuò)展模塊漏洞。Web服務(wù)器軟件可以通過一些功能擴(kuò)展模塊來為核心的HTTP引擎增加其他功能，如IIS的索引服務(wù)模塊可以啟動(dòng)站點(diǎn)檢索功能。和Web服務(wù)器軟件相比，這些功能擴(kuò)展模塊的編寫質(zhì)量要差很多，因此存在更多的安全漏洞。（3）資源解析安全漏洞。Web服務(wù)器軟件在處理資源請(qǐng)求時(shí)，需要將同一資源的不同表示方式解析為標(biāo)準(zhǔn)化名稱，這個(gè)過程稱為資源解析。IISUnicode解析錯(cuò)誤漏洞就是一個(gè)典型的例子，IIS4.0/5.0在Unicode字符解碼的實(shí)現(xiàn)中存在安全漏洞，用戶可以利用該漏洞通過IIS遠(yuǎn)程執(zhí)行任意命令。（4）數(shù)據(jù)驅(qū)動(dòng)的遠(yuǎn)程代碼執(zhí)行安全漏洞。針對(duì)這類漏洞的攻擊行為包括緩沖區(qū)溢出、不安全指針、格式化字符等遠(yuǎn)程滲透攻擊。通過這類漏洞，攻擊者能在Web服務(wù)器上直接獲得遠(yuǎn)程代碼的執(zhí)行權(quán)限，并能以較高的權(quán)限執(zhí)行命令。IIS服務(wù)器在6.0以前的多個(gè)版本中就存在大量這種安全漏洞，如著名的數(shù)據(jù)塊編碼堆溢出漏洞等。IIS6.0以后的版本雖然在安全性方面有了大幅度的提升，但是仍存在這類安全漏洞。通過上面介紹的這些Web服務(wù)器軟件安全漏洞，攻擊者可以在Web服務(wù)器軟件層面對(duì)目標(biāo)Web站點(diǎn)實(shí)施攻擊。攻擊者可以在相關(guān)網(wǎng)站上