cgi腳本漏洞有哪些方式
作者:佚名 時間:2013-08-20 分享到:
cgi腳本是實現web交互功能的重要手段,shell腳本,perl程序和c可執行程序是cgi腳本最常采用的形式,由于程序編寫上的馬虎,很多cgi腳本都存在漏洞,根據所收集的漏洞信息,cgi漏洞的危害主要有3種.
1.緩沖區溢出攻擊,這種攻擊實質是不遵守規則,歪曲或違反而面中建立的某個限制或約束,大部分cgi腳本是作為html,表彰的后臺運行的,負責處理由用戶輸入的信息并提供某種定制的輸出.因為在這種情況下,大部分cgi腳本編寫時都等等某種特定格式的數據,然而,黑客可以有許多方法繞過這些預定義的格式而給腳本發送一些看起來是隨機的數據,此時,由于cgi腳本可能在對輸入數據的有效性的判定上存在不足,缺少全面的輸入驗證和凈化,導致攻擊者能夠將特殊的字符和本地系統命令結合起來,作為參數輸入,從而使得web服務器執行這個命令.
2.數據驗證型溢出攻擊,由于cgi程序本身或程序調用的函數缺乏對用戶輸入數據的合法性檢查,未能小隊一些特殊字符,使得入侵者可以通過構造請求來達到入侵目的,比如缺少對用戶輸入數據的合法性檢查,未能小隊一些特殊字符,使得入侵者可以通過構造請求來達到入侵的目的,比如缺少對"../"的過濾,可能導致入侵者讀取系統的任意文件.
3.信息漏泄.一些cgi程序所提供的功能自身違背安全性要求,如損害了信息的保密性,極易被入侵者利用.漏洞描述,當url請求的文件不存在時,webpage.cgi會向客戶端瀏覽器返回某些敏感信息,比如腳本所在路徑,http根目錄所在路徑,perl版本,server_admin,server_name,path環境變量等,這就可以為進一步的攻擊做準備.
如沒特殊注明,文章均為上海聯楷網絡原創,轉載請注明來自:http://www.ktcbnqb.cn/hynews/20151126/n3027.html
