說到web業務系統，很多人會下意識的認為Web業務系統 = 網站，但實際上，我們通常所說的Web業務系統指的是利用各種動態Web技術開發的基于B/S(瀏覽器服務器)模式的事務處理系統。比如：ERP系統、CRM系統以及常見的網站系統(如電子政務網站、企業網站等)都是Web業務系統。這些Web業務系統，都會遭受Web威脅的影響。

　　安全隱患有很多，常見的不外乎這幾種，熟悉了解了就知道怎么規避風險。Web服務器存在的主要漏洞包括物理路徑泄露，CGI源代碼泄露，目錄遍歷，執行任意命令，緩沖區溢出，拒絕服務，SQL注入，條件競爭和跨站腳本執行漏洞，和CGI漏洞有些相似的地方，但是更多的地方還是有著本質的不同。不過無論是什么漏洞，都體現著安全是一個整體的真理，考慮Web服務器的安全性，必須要考慮到與之相配合的操作系統。

　　物理路徑泄露
　　物理路徑泄露一般是由于Web服務器處理用戶請求出錯導致的，如通過提交一個超長的請求，或者是某個精心構造的特殊請求，或是請求一個Web服務器上不存在的文件。這些請求都有一個共同特點，那就是被請求的文件肯定屬于CGI腳本，而不是靜態HTML頁面。
　　還有一種情況，就是Web服務器的某些顯示環境變量的程序錯誤的輸出了Web服務器的物理路徑，這應該算是設計上的問題。
　　目錄遍歷
　　目錄遍歷對于Web服務器來說并不多見，通過對任意目錄附加“../”，或者是在有特殊意義的目錄附加“../”，或者是附加“../”的一些變形， ? ? ? ? ? ? 如“..\\”或“..//”甚至其編碼，都可能導致目錄遍歷。前一種情況并不多見，但是后面的幾種情況就常見得多，以前非常流行的IIS二次解碼漏洞和Unicode解碼漏洞都可以看作是變形后的編碼。
　　執行任意命令
　　執行任意命令即執行任意操作系統命令，主要包括兩種情況。一是通過遍歷目錄，如前面提到的二次解碼和UNICODE解碼漏洞，來執行系統命令。另外一種就是Web服務器把用戶提交的請求作為SSI指令解析，因此導致執行任意命令。
　　緩沖區溢出
　　緩沖區溢出漏洞想必大家都很熟悉，無非是Web服務器沒有對用戶提交的超長請求沒有進行合適的處理，這種請求可能包括超長URL，超長HTTP Header域，或者是其它超長的數據。這種漏洞可能導致執行任意命令或者是拒絕服務，這一般取決于構造的數據。
　　拒絕服務
　　拒絕服務產生的原因多種多樣，主要包括超長URL，特殊目錄，超長HTTP Header域，畸形HTTP Header域或者是DOS設備文件等。由于Web服務器在處理這些特殊請求時不知所措或者是處理方式不當，因此出錯終止或掛起。
　　SQL注入
　　簡介
　　SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，比如很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。

????? 原理
　　SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程序沒有細致地過濾用戶輸入的數據，致使非法數據侵入系統。
　　根據相關技術原理，SQL注入可以分為平臺層注入和代碼層注入。前者由不安全的數據庫配置或數據庫平臺的漏洞所致；后者主要是由于程序員對輸入未進行細致地過濾，從而執行了非法的數據查詢。基于此，SQL注入的產生原因通常表現在以下幾方面：①不當的類型處理；②不安全的數據庫配置；③不合理的查詢集處理；④不當的錯誤處理；⑤轉義字符處理不合適；⑥多個提交處理不當。
　　SQL注入的漏洞在編程過程造成的。后臺數據庫允許動態SQL語句的執行。前臺應用程序沒有對用戶輸入的數據或者頁面提交的信息(如POST， GET)進行必要的安全檢查。數據庫自身的特性造成的，與web程序的編程語言的無關。幾乎所有的關系數據庫系統和相應的SQL語言都面臨SQL注入的潛在威脅 。
　　條件競爭
　　這里的條件競爭主要針對一些管理服務器而言，這類服務器一般是以System或Root身份運行的。當它們需要使用一些臨時文件，而在對這些文件進行寫操作之前，卻沒有對文件的屬性進行檢查，一般可能導致重要系統文件被重寫，甚至獲得系統控制權。
　　CGI漏洞
　　通過CGI腳本存在的安全漏洞，比如暴露敏感信息、缺省提供的某些正常服務未關閉、利用某些服務漏洞執行命令、應用程序存在遠程溢出、非通用CGI程序的編程漏洞。

　　而會威脅到Web業務安全的因素又包括哪些方面呢？在日常工作中，我們會遇到哪些Web安全隱患呢？
　　第一個方面：操作系統和后臺數據庫可能會存在漏洞或配置不當，如弱口令等等，導致駭客、病毒可以利用這些缺陷進行攻擊。
　　第二個方面：Web業務常用的發布系統，如IIS、Apache等，這些系統存在的安全漏洞，給入侵者可乘之機。
　　第三個方面：主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的問題，使得駭客能夠利用這些漏洞發起攻擊，比如SQL注入、跨站腳本攻擊等等。
　　第四個方面：Web應用系統服務器所處的網絡安全狀況也影響著Web應用系統的安全，比如網絡中存在的DoS攻擊等，也會影響到這些Web應用系統的正常運營。

? ? ? 上述文章內容概要地對Web應用系統存在的安全風險進行分析，當然還有更多的其它安全漏洞。小編提醒基于web應用交易的企業用戶，建議尋求專業的安全服務團隊或機構對web應用的站點進行風險評估，以減少web應用系統的風險。

總結

以上是生活随笔為你收集整理的Web服务器需要警惕的安全隐患是什么？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。