Web服务器存在的主要漏洞包括物理路径泄露、CGI源代码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。
面对Web服务器漏洞,怎样去发现漏洞呢?N-Stealth号称是世界上最顶尖的WEB服务器安全扫描工具N-Stealth。能在Win98/ME/2000/XP/2003系统下正常地运行,测试扫描目前几乎所有Web型的服务器,包括某些网络设备的Web控制平台,支持大多数的Web服务应用程序(如: CGI,ColdFusion,ASP,Lotus Domino,FrontPage,PHP等),能进行超过30000种的Web服务器漏洞测试。
对于这些漏洞的解决,通常的方法就是在服务器软件的网站上下载最新补丁。但这种方法存在着缺陷,因为服务器软件的开发商在内部测试中不可能将系统中的所有bug 找出来,即使发布了软件后,被发现的漏洞也只会是其中的很小一部分,将来还会不断的有新的安全问题出现,这就是说黑客有可能通过没有找出的漏洞攻击你。既然这个方法有缺陷,那还有没有更好的方法?南北科技网站选择了AppRock Web应用防火墙来保护网站。AppRock应用防火墙是国内公司研发的一款产品,可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。
南北科技网站安装AppRock应用防火墙后,使用AppRock应用防火墙动态策略学习,在可信任用户与应用互动时学习合法应用逻辑,然后建立有效的针对Web内容交互的安全策略数据库.
(T111)
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073