• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

Unix系统的Web服务器安全指南

发布: 2008-10-21 09:35 | 作者: 不详 | 来源: 测试时代采编 | 查看: 65次 | 进入软件测试论坛讨论

领测软件测试网

7.有些Web服务器把Web的文档目录与FTP目录指在同一目录时,应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些如PERL或SH之类程序,并用Web的CGI-BIN去执行,造成不良后果。

8.通过限制许可访问用户IP或DNS,如在NCSA中的access.conf中加上:

《Directory /full/path/to/directory》

《Limit GET POST》

order mutual-failure

deny from all

allow from 168.160.142. abc.net.cn

《/Limit》

《/Directory》

这样只能是以域名为abc.net.cn或IP属于168.160.142的客户访问该Web服务器。

对于CERN或W3C服务器可以这样在httpd.conf中加上:

Protection LOCAL-USERS {

GetMask @(*.capricorn.com, *.zoo.org, 18.157.0.5)

}

Protect /relative/path/to/directory/* LOCAL-USERS

9.WINDOWS下HTTPD

(1)Netscape Communications Server for NT

PERL解释器的漏洞:

Netscape Communications Server中无法识别CGI-BIN下的扩展名及其应用关系,如.pl文件是PERL的代码程序自动调用的解释文件,即使现在也只能把perl.exe文件存放在CGI-BIN目录之下。执行如:/cgi-bin/perl.exe?&my_script.pl。但是这就给任何人都有执行PERL的可能,当有些人在其浏览器的URL中加上如:/cgi-bin/perl.exe?&-e+unlink+%3C*%3E时,有可能造成删除服务器当前目录下文件的危险。但是,其他如:O′Reilly WebSite或Purveyor都不存在这种漏洞。

CGI执行批处理文件的漏洞:

文件test.bat的内容如下:

@echo off
echo Content-type: text/plain
echo
echo Hello World!

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

32/3<123>

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网