*意外情况处理失败
这种错误也很常见,如没有检查文件是否存在就直接打开设备文件导致拒绝服务,没有检查文件是否存在就打开文件提取内容进行比较而绕过验证,上下文攻击导致执行任意代码
等。
*策略错误
这种错误主要是由于编制CGI程序的程序员的决策造成的。如原始密码生成机制脆弱导致穷举密码导致在Cookie中明文存放帐号密码导致敏感信息泄露,使用与CGI程序不同的扩展
名扩展名存储敏感信息导致该文件被直接下载,丢失密码模块在确认用户身份之后直接让用户修改密码而不是把密码发到用户的注册信箱,登陆时采用帐号和加密后的密码进行认
证导致攻击者不需要知道用户的原始密码就能够登陆等。
*习惯问题
程序员的习惯也可能导致安全问题,如使用某些文本编辑器修改CGI程序时,经常会生成“.bak”文件,如果程序员编辑完后没有删除这些备份文件,则可能导致CGI源代码泄露。
另外,如果程序员总喜欢把一些敏感信息(如帐号密码)放在CGI文件中的话,只要攻击者对该CGI文件有读权限(或者利用前面介绍的一些攻击方法)就可能导致敏感信息泄露。
*使用错误
主要是一些函数的使用错误,如Perl中的“die”函数,如果没有在错误信息后面加上“\n”的话,就极可能导致物理路径泄露。
*其它错误
此外,还有一些其它难以归类的错误,如“非1即0”导致绕过认证的问题。
【美国抗攻击服务器】美国SK机房,抗攻击抗投诉型服务器
特点:1、超级服务器--专为大型企业及受攻击投诉网站设计;
2、最阿尚大的入侵检测系统(硬件防火墙),有效防御DDOS、CC、SYN等攻击方式(硬/软件防火墙);
3、站点易受攻击/易受投诉站点的首选机房,服务器遇到DDOS攻击时,机器防火墙会自动响应并做到实时保护;
4、遇到超大攻击机房只屏蔽被攻击IP(被攻击IP会在数小时后自动恢复正常),其余IP正常使用,抵抗服务器投诉问题。
【美国抗攻击服务器】永网数据-专业提供美国空间,美国VPS,美国抗攻击服务器,美国抗投诉服务器,荷兰免投诉服务器,新加坡快速服务器,巴拿马无视投诉服务器
【美国抗攻击服务器】永网数据:http://www.eusidc.com
咨 询QQ:712630087(永网-阿尚)[url=http://wpa.qq.com/msgrd?v=1&uin=712630087&site=www.eusidc.com&menu=yes]
[/url]
联系电话:0371-63757005-608【美国抗攻击服务器】
欢迎您的咨询!
News
Site map
SitemapIndex
RSS Feed