浅谈web服务器安全
来源:互联网 发布:淘宝联盟注册淘宝客 编辑:程序博客网 时间:2024/04/29 23:25
这里说的漏洞都是管理员配置错误导致的漏洞。
1、目录的权限要设置合理。否则会导致web用户可以浏览任意目录。
工具:web资源管理器 http://blog.csdn.net/iuhxq/archive/2004/12/11/212987.aspx
用它可以查看任何目录,只要有权限。如果看到conn.asp或者web.config。。。。。。。呵呵。。。
轻则数据库被下载(access)重则。。。看你还有没有其他漏洞了
2、数据库连接的帐号一定不要给管理员权限。否则非常危险。
假如从上面得知了数据库的密码。
那我们就可以执行任意系统命令了。
例如:xp_cmdshell 'dir c:/'
另外还有
tasklist
taskkill
pslist
pskill
net user
net user guest /active:yes
net user hack hack /add
net user hack /del
net localgruop administrators hack /add
query user
logoff 1
这些命令是不是很恐怖?呵呵。所以一定不要给web数据库连接帐号管理权限。
3、这个跟web服务器没什么关系,不过也算是一个漏洞。
一般的FTP服务器都是用serv-u架设的。它的最大配额限制是通过上传下载流量来控制的。所以我们就可以用上面提到的web资源管理器在FTP里生成大的文件,比如40M,然后再用FTP登陆,删除这个40M的文件,这样你的空间就多出40M(实际是你使用的空间少计算了40M),多做几次,用FTP看吧,上面会显示使用0M,呵呵,其实里面你保存了好多资料呢。
好了,就说这些,谢谢大家耐心看完。886~!
1、目录的权限要设置合理。否则会导致web用户可以浏览任意目录。
工具:web资源管理器 http://blog.csdn.net/iuhxq/archive/2004/12/11/212987.aspx
用它可以查看任何目录,只要有权限。如果看到conn.asp或者web.config。。。。。。。呵呵。。。
轻则数据库被下载(access)重则。。。看你还有没有其他漏洞了
2、数据库连接的帐号一定不要给管理员权限。否则非常危险。
假如从上面得知了数据库的密码。
那我们就可以执行任意系统命令了。
例如:xp_cmdshell 'dir c:/'
另外还有
tasklist
taskkill
pslist
pskill
net user
net user guest /active:yes
net user hack hack /add
net user hack /del
net localgruop administrators hack /add
query user
logoff 1
这些命令是不是很恐怖?呵呵。所以一定不要给web数据库连接帐号管理权限。
3、这个跟web服务器没什么关系,不过也算是一个漏洞。
一般的FTP服务器都是用serv-u架设的。它的最大配额限制是通过上传下载流量来控制的。所以我们就可以用上面提到的web资源管理器在FTP里生成大的文件,比如40M,然后再用FTP登陆,删除这个40M的文件,这样你的空间就多出40M(实际是你使用的空间少计算了40M),多做几次,用FTP看吧,上面会显示使用0M,呵呵,其实里面你保存了好多资料呢。
好了,就说这些,谢谢大家耐心看完。886~!
- 浅谈web服务器安全
- Web安全浅谈
- 浅谈php web安全
- 浅谈php web安全
- 浅谈php web安全
- 浅谈php web安全
- 浅谈php web安全
- 浅谈php web安全
- 浅谈web安全
- Web 安全浅谈
- web安全浅谈
- 浅谈Web安全
- 浅谈web安全
- 浅谈web前端安全
- 浅谈WEB服务器
- 浅谈web服务器
- 安全维护服务器技巧浅谈
- [转]浅谈php web安全
- 由喝腊八粥想到的——我们应该怎么做!
- 上海得房价太高, 在合肥买了房子
- [Oracle]ORA-19206: 用于查询或 REF CURSOR 参数的值无效
- (转载)入侵检测系统FAQ(全)
- (转载)IDS的弱点和局限
- 浅谈web服务器安全
- (转载)Windows NT安全性理论与实践
- (转载)Honeypot技术讲解
- 关于中断的详细阐述,包括如何写中断服务程序
- Linux路由器配置实例
- (转载)Windows NT/2000下的空连接
- C++编程思想读书笔记--之static
- fso对象完成对硬盘文件的处理
- (转载)理解IDS的主动响应机制
