Linux Web系统上常见安全漏洞览

来源:TechTarget  
2010/4/9 11:03:25
在执行漏洞评估和渗透测试时,我们通常纠结于操作系统级别的漏洞,最终忽视了Layer 7问题。

本文关键字: Linux Web安全漏洞

在执行漏洞评估和渗透测试时,我们通常纠结于操作系统级别的漏洞,最终忽视了Layer 7问题。由于在远程登录和SSH的Linux系统上存在许多攻击面,因此这是一个非常危险的陷阱。事实上,在我看来,多数基于Linux的缺陷位于应用层。可能是Apache、PHP或OpenSSL,或者只是一般的错误配置,如果漏洞可以通过HTTP访问,那就更危险了。

常见的漏洞有SQL攻击和跨站点脚本,对于Linux Web安全来说还有更多。下面列出的是我经常看见的基于Linux的系统上的其他Web安全漏洞,供你参考,便于降低与Web相关的风险:

PHP代码入侵会允许恶意代码直接执行。我见到过服务器端脚本引擎接受未过滤的PHP输入,运行在服务器上,提供系统级别的服务器访问。

使用HTTP GET请求而不是POST请求通过用户名和密码。这个缺点能造成允许Web应用和操作系统级别的特权扩展。

密码弱连同入侵者锁定的缺少。我曾发现使用自动的密码破解者,如Brutus和旧有的登录猜测器,通常,当出现弱登录时,获取在Web站点或应用的未授权访问非常简单。

弱的文件和目录权限会允许系统列举。我常发现备份或测试文件包含旧有和未经维护的代码,提供了不是每个人都需要看见的信息。

 

责编:王立新
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918