Иллюстрированный самоучитель по Secure Web


Изъяны приложений - часть 2


Для того чтобы проверить, уязвим ли ваш сервер при использовании такого приема, выполните следующее.

1. В Web-броузере введите следующий адрес URL: ftp://ftp.server.com/

2. Если вам удалось получить анонимный доступ, попробуйте просмотреть каталог SYS: ETC. Если вы смогли увидеть файлы в этом каталоге, значит, ваш сервер уязвим.

Контрмеры: защита службы FTP


Принципы зашиты службы FTP системы NetWare аналогичны контрмерам против использования сценариев Perl. Необходимо либо запретить использование службы либо обновить программное обеспечение.

  •  Замените файл ftpserv.nlm на его более новую версию. Ее можно найти по адресу http://www.support.novell.com.  
  • Запретите анонимный FTP-доступ. 
  •  Воспользуйтесь файлом unicon.nlm и удалите службу FTP.

Версия ftpserv.nlm для системы NetWare 4.11 по умолчанию запрещает анонимный доступ пользователей.

Web-сервер NetWare


Об уязвимости Web-сервера системы NetWare стало известно в 1996 году. Более ранние версии Web-сервера системы NetWare 4.x не способны проверять параметры, передаваемые его файлу convert.bas сценариями на языке Basic. В результате взломщики могут без проблем увидеть любой файл системы, включая autoexec.ncf, Idremote.ncf и netinfo.cfg. Для проверки степени уязвимости вашего сервера выполните следующие действия.

1. Воспользовавшись строкой ввода адреса URL Web-броузера, вызовите исследуемый сценарий (convert. bas) и передайте ему в качестве параметра имя системного файла. Например, http://www.server.com/scripts/convert.bas?../..
/system/autoexec.ncf

2. Если вы увидели содержимое файла autoexec.ncf, значит, Web-сервер уязвим.

Контрмеры: защита Web-сервера NetWare


Выполните обновление до самой последней версии Web-сервера компании Novell, обратившись по адресу http://www.support.novell.com, или как минимум до версии 2.51R1, Компанией Novell были исправлены сценарии Basic, содержащиеся в каталоге SCRIPTS. Теперь с их помощью можцо открыть лишь определенные файлы, перечень которых жестко ограничен.





Начало  Назад  Вперед