Угроза CGI и SSI

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

Сам по себе сервер Apache надежен и достаточно защищен. Наибольшей угрозой безопасности сервера является пользовательский код, исполняемый сервером - как правило, речь идет о программах CGI (Common Gateway Interface) и SSI (Server Side Includes).

Приложения CGI могут разрабатываться на С, Perl, Python и на любом другом языке программирования. Некачественные программы CGI представляют собой одну из самых серьезных угроз для безопасности сервера: злоумышленники могут использовать код этих программ для атак, основанных на переполнении буфера или передаче команд интерпретатора через программу системе. Защита состоит в предельно внимательном отношении к коду, который размещается в системе. Следует лично проверять все программы, хранимые в каталоге cgi-bin. Старайтесь писать программы, не принимающие от пользователя данные, вводимые в свободном формате: пользуйтесь элементами меню, а не клавиатурным вводом, где только возможно. Ограничивайте и проверяйте данные, поступающие от пользователя к системе.

Чтобы облегчить задачу аудита сценариев CGI, храните все сценарии в каталоге ScriptAlias. Не разрешайте исполнение сценариев из любых других каталогов, если нет полной уверенности, что в эти каталоги попадают только сценарии, проверенные вами лично. В следующем разделе представлены сведения о том, как определять каталоги исполняемых сценариев CGI, в ходе рассказа об инструкции Options.

Серверные включения SSI (Server Side Includes) также представляют собой потенциальную проблему - по тем же причинам, что и программы CGI. Серверные включения называют еще HTML серверной обработки (Server Parsed HTML), а файлы SSI часто имеют расширение .shtml. Эти файлы обрабатываются сервером до передачи клиенту и могут включать в себя другие файлы либо вызывать код внешних сценариев. Если для динамического изменения файла SSI используется ввод пользователя, файл становится уязвим для тех же видов атак, что и сценарии CGI.

Команды SSI встраиваются в комментарии HTML, а следовательно, начинаются символами. Команды SSI перечислены в табл. 11.3.

Таблица 11.3. Команды SSI (Server Side Include)

Команда Назначение
#config Задает формат отображения размера файла и времени
#ecbo Отображает значения переменных
ttexec Исполняет сценарий CGI или команду интерпретатора
#flastmod Отображает дату последнего изменения документа
#fsize Отображает размер документа
ffinclude Включает внешний файл в текущий документ

Наиболее безопасный режим работы требует запрета на обработку инструкций SSI. Такова установка по умолчанию, изменяемая аргументами All или Includes инструкции Options в файле httpd.conf. Существует и компромисс - разрешить обработку SSI, но запретить команды ffinclude и #ехес. Они пред- ставлют наибольшую опасность, поскольку #include записывает в документ данные из внешнего файла, а #ехес позволяет исполнять сценарии и команды. Воспользуйтесь аргументом IncludesNOEXEC инструкции Options, чтобы реализовать такую схему. Рассмотрим теперь создание инструкций Options для отдельных каталогов.


Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk
Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.