|
Linux Web系统上常见安全漏洞览在执行漏洞评估和渗透测试时,我们通常纠结于操作系统级别的漏洞,最终忽视了Layer 7问题。 在执行漏洞评估和渗透测试时,我们通常纠结于操作系统级别的漏洞,最终忽视了Layer 7问题。由于在远程登录和SSH的Linux系统上存在许多攻击面,因此这是一个非常危险的陷阱。事实上,在我看来,多数基于Linux的缺陷位于应用层。可能是Apache、PHP或OpenSSL,或者只是一般的错误配置,如果漏洞可以通过HTTP访问,那就更危险了。 常见的漏洞有SQL攻击和跨站点脚本,对于Linux Web安全来说还有更多。下面列出的是我经常看见的基于Linux的系统上的其他Web安全漏洞,供你参考,便于降低与Web相关的风险: PHP代码入侵会允许恶意代码直接执行。我见到过服务器端脚本引擎接受未过滤的PHP输入,运行在服务器上,提供系统级别的服务器访问。 使用HTTP GET请求而不是POST请求通过用户名和密码。这个缺点能造成允许Web应用和操作系统级别的特权扩展。 密码弱连同入侵者锁定的缺少。我曾发现使用自动的密码破解者,如Brutus和旧有的登录猜测器,通常,当出现弱登录时,获取在Web站点或应用的未授权访问非常简单。 弱的文件和目录权限会允许系统列举。我常发现备份或测试文件包含旧有和未经维护的代码,提供了不是每个人都需要看见的信息。
责编:王立新 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 推荐圈子 |
|