企业Web漏洞分析和检测.docxVIP

Web漏洞与信息安全 网站安全的重要性 网站作为企业的门户，是展示企业形象的一种方式，其对外展示形象之时无疑是将自己暴露于网络之中。这就使得别有用心之人能够扫描网站的开放端口、然后根据端口提示的应用程序扫描该程序的漏洞、然后根据程序的漏洞进一步打开服务器的大门，最后将企业的网站作为他随意进入、任意修改的猎物。2014年的毒胶囊事件刚刚曝出之时，制药企业龙头修正药业的网站便随即被攻克，黑客将企业的网站变成了全体网民发泄之所。这使得修正药业在处理公共危机之时，不得不专门腾出手来处理突发的信息安全危机。所以传统企业需要关注常被忽略的网络安全问题。 网站常见漏洞 下面列出一些常见的网站安全问题，及其分析： 物理路径泄露：物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。 CGI源代码泄露：CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。 目录遍历：目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“../”，或者是在有特殊意义的目录附加“../”，或者是附加“../”的一些变形，如“..\”或“..//”甚至其编码，都可能导致目