 |
Apache,IIS等多种服务器允许发送回车符伪造日志 |
|
|
| Apache,IIS等多种服务器允许发送回车符伪造日志 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 9:43:28 |
|
描述:
多数http服务器在收到包含%0d%0a的请求时会解析为回车并在日志中换行,利用这
一特性可以伪造日志。
详细:
大多数http服务器都支持形如%00编码方式的请求,主要目的是提供可靠的双字节信
息的传输。但在记录日志时记录的是解码后的请求而不是原始请求。这就导致了一个安全
问题:入侵者可以通过发送%0d%0a或%u0d0a在日志中产生换行,从而可以伪造日志,使
入侵行为淹没在大量虚假日志中,难于找到真正的入侵者,给入侵分析带来困难。
例如,对于Win32版的Apache,我们可以发送如下请求:
GET /index.htm%0d%0a[Thu%20Nov%2044%2066:88:66%202666]%20[error]%20[client%20666.999.666.999]%20File%20does%20not%20exist:%20c:/web/index.html HTTP/1.1
这个日志会把管理员吓坏的。
因为IIS在日志中把所有空格都记录为“+”,所以就有一点困难,但可以用其他不可
见字符来代替,如%00、%ff、%7f等,完全可以欺骗绝大多数日志分析工具。
在请求中用多个%0d%0a甚至可以逼真的模拟一次CGI扫描,或者也可以把一篇《岳阳
楼记》写到日志里
*UNIX系统未作测试,可能需要使用%0a来作为换行。
解决方案:
暂无,请连系服务器软件提供商。【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 保护IIS的15个技巧
下一篇文章: Virtual IIS Firewall共享测试版发布 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
