热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

网络攻防技术之Apache HTTP服务器漏洞

发布时间:2009-09-13 01:10文章来源:网络文章作者:秩名 点击次数:
摘要:Apache HTTP服务器在Apache软件基金会(Apache Software Foundation,ASF)的指导下开发,ASF是一个非营利性组织。根据2007年2月份的Netcraft调查(http://news.netcraft.com/archives/web_server_survey.html),Apache服务器的市场份额为58.70%,Microsoft ...

Apache HTTP服务器在Apache软件基金会(Apache Software Foundation,ASF)的指导下开发,ASF是一个非营利性组织。根据2007年2月份的Netcraft调查(http://news.netcraft.com/archives/web_server_survey.html),Apache服务器的市场份额为58.70%,Microsoft IIS的市场份额为31.09%。


Apache不像IIS那样易受攻击。Apache HTTP服务器上的绝大多数漏洞都出现在这个流行Web服务器的Windows端口上,但这个端口不像原始的UNIX/Linux版本那样在互联网上流行。
人们一直都在发现新的漏洞。绝大多数漏洞都与拒绝服务攻击(DoS)相关。下面给出一些针对Apache Web服务器的常见攻击:

 

内存消耗DoS——攻击者发送一个带有MIME头的HTTP GET请求,其中包含了带有能够导致服务器崩溃的数行大量空格字符。
SSL无限循环——攻击者通过终止SSL并引发子进程进入无限循环状态而发起DoS攻击。


绕过基本认证——即使攻击者没有被授权访问服务器,他也能够获取对受限资源的访问。这种情况仅仅在Apache 2.0.51中发现,原因在于阻止出现Satisfy命令的代码存在一个缺陷。Satisfy命令授权用户使用用户名和口令或客户端IP地址访问服务器。


IPv6 URI剖析堆溢出——使用Codenomicon(这是一家著名的自动软件测试工具厂商)开发的HTTP测试工具,恶意黑客能够在Apache可移植运行时库中发生输入有效性错误时摧毁服务器。

标签分类: linux

上一篇:网站基础知识之Java语言
下一篇:网站SEO优化之关键字词频