6.3.1 Apache HTTP服务器漏洞
Apache HTTP服务器在Apache软件基金会(Apache Software Foundation,ASF)的指导下开发,ASF是一个非营利性组织。根据2007年2月份的Netcraft调查(http://news.netcraft.com/archives/web_server_survey.html),Apache服务器的市场份额为58.70%,Microsoft IIS的市场份额为31.09%。
Apache不像IIS那样易受攻击。Apache HTTP服务器上的绝大多数漏洞都出现在这个流行Web服务器的Windows端口上,但这个端口不像原始的UNIX/Linux版本那样在互联网上流行。
人们一直都在发现新的漏洞。绝大多数漏洞都与拒绝服务攻击(DoS)相关。下面给出一些针对Apache Web服务器的常见攻击:
内存消耗DoS——攻击者发送一个带有MIME头的HTTP GET请求,其中包含了带有能够导致服务器崩溃的数行大量空格字符。
SSL无限循环——攻击者通过终止SSL并引发子进程进入无限循环状态而发起DoS攻击。
绕过基本认证——即使攻击者没有被授权访问服务器,他也能够获取对受限资源的访问。这种情况仅仅在Apache 2.0.51中发现,原因在于阻止出现Satisfy命令的代码存在一个缺陷。Satisfy命令授权用户使用用户名和口令或客户端IP地址访问服务器。
IPv6 URI剖析堆溢出——使用Codenomicon(这是一家著名的自动软件测试工具厂商)开发的HTTP测试工具,恶意黑客能够在Apache可移植运行时库中发生输入有效性错误时摧毁服务器。
| 回书目 上一节 下一节 |
|
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|
|||
| · SOA 面向服务架构 · 子网掩码教程 · RAID——磁盘阵列基础 · 三层交换技术专题 · SQL Server入门到精通 · 刀片服务器基础 · Windows远程桌面应用 · 深入了解PGP加密技术 |
· MySQL数据库备份 · VPN技术 · Solaris 10 配置管理 · Linux 基础 · SSL VPN详细知识 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 |
||
|
|||
| · VPN技术 · SQL Server入门到精通 · SOA 面向服务架构 · 子网掩码教程 · 刀片服务器基础 · 三层交换技术专题 · Windows远程桌面应用 · MySQL数据库备份 |
· RAID——磁盘阵列基础 · 身份认证技术 · SSL VPN详细知识 · Sniffer安全技术从入门.. · 常用交换机典型配置 · VPN技术 · Linux 集群技术专题 · 路由器设置与口令恢复 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 朱先忠精选文章.. 推荐阅读 |
|
| ·ASP.NET 2.0 Web Part编.. ·ASP.NET 2.0 Web Part编.. |
·ASP.NET 2.0 Web Part编.. ·ASP.NET 2.0服务器控件之.. |
| 张大磊 的博客 |
|
| ·MSDN Webcast - 模式与实.. ·如何将CAB应用迁移到SCSF.. |
·Architect Inside I - 五.. ·以架构师的眼睛看世界-Ar.. |
| 田逸 的博客 |
|
| ·Nagios借助yahoo.cn邮箱.. ·Linux系统手动安装rzsz .. |
·Linux 服务集中管理工具n.. ·官瘾 |
| 组网建网 |
安全频道 |
| · 广东新规明确信息安全等.. · IDC:2008年IT市场10大.. · 运营商封堵非法ADSL共享 |
· VPN安全技术与应用 · 企业如何进行计算机取证.. · 安全防范与策略 |
| 编程频道 |
前沿技术 |
| · IDC:2008年IT市场10大.. · Visual Studio 2005开发.. · 测试开发人员参考手册 |
· 年初17大热门技术 年底.. · 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Linux 基本概念及常用命.. · 请正确对比Windows和Lin.. · Samba将可取得微软Windo.. |
· IT人员应当了解的七个存.. · IDC:2008年IT市场10大.. · 弃高端主板竞争?英特尔.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· IT人员应当了解的七个存.. · 希捷承认部分硬盘暗藏病.. · 硬盘之父获得诺贝尔物理.. |
相关 
