兔源码网 - 专注DZ模版分享、DZ插件分享!

 找回密码
 立即注册

QQ登录

只需一步,快速开始

广告
温馨提示:本站所有DZ相关模板、插件、教程(包括DZ应用中心已下架插件、模板)皆为提供免费下载,无任何收费模式(不包括VIP版块非DZ资源,VIP版块需充值兔币购买会员组方可下载),用户仅需手动前往【申请下载权限】申请用户组下载权限即可,如本站没有您需要的插件或模板,请自行前往淘宝互站网送吗网等第三方站点搜索相关插件或模板进行低价格购买下载本站非常不建议用户浪费金钱前往DZ应用中心购买。

FTP服务器面临的安全隐患

[复制链接]
tuyuanma 发表于 2017-4-6 11:04:26 | 显示全部楼层 |阅读模式
温馨提醒:禁止内容附带广告图片、二维码图片,否则将在不通知情况下永久禁言账号!
欢迎加入兔源码站长交流群,您的加入是我们前行的动力!

DZ站长建站交流群:493651246

[ 温馨提示:点击上方群文字,可快速加入QQ群 ]


FTP服务器面临的安全隐患主要包括:缓冲区溢出攻击(Buffer Overflow)、数据嗅探、匿名访问缺陷和访问漏洞。

(1)缓冲区溢出攻击

长期以来,缓冲区溢出已经成为计算机系统的一个问题。利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫,发生在1988年11月。虽然其危害人为所致,但缓冲区溢出仍然是现在入侵的一个重要手段。缓冲区溢出的概念:缓冲区溢出好比是将十公斤货物放进一个只能装五公斤的容器里。缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说,它是由于编程机制而导致的,在软件中出现内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常运行,从而获得整个系统的控制权。

(2)数据嗅探

FTP是传统的网络服务程序,在本质上是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓的“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”转手做了手脚之后,就会出现很严重的问题。截获这些口令的方式主要为暴力破解。另外,使用sniffer程序监视网络封包捕捉FTP开始的会话信息,可顺手截获root密码。

(3)匿名访问缺陷

匿名访问方式在FTP服务当中被广泛的支持,但是由于匿名FTP不需要真正的身份验证,因此,很容易为入侵者提供一个访问通道,配合缓冲区溢出攻击,会造成很严重的后果。例如,Linux 下第一个病(Ramen蠕虫)就是利用匿名访问漏洞和缓冲区溢出攻击对著名的WU-ftpd服务器造成了极大的威胁。8 V' Q# u8 D: B+ `! t

' y+ O9 j- W/ n. v(4)访问漏洞

WU-ftpd存在未授权访问漏洞,这个问题与WU-ftpd支持的“restricted-gid”特性有关。它准许管理者限制FTP用户访问某些目录。根据道,利用这个漏洞,用户如果绕过限制修改了对用户目录的访问权限,那么他自己将不再能够访问这些目录,在这种情况下,服务器将赋予用户对root目录的访问权限。


5 F8 @: ^; h3 |: o

版权声明
1、转摘或引用本站内容资源须注明原网址,并标明本站网址(兔源码www.tuyuanma.com);
2、对于转摘或引用本站内容资源而引起的民事纠纷、行政处罚或其他损失,本站不承担责任;
3、对于不遵守本声明或其他违法、恶意使用本站内容者,本站保留其追究法律责任的权利。




自动排版 | 高级模式
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

广告

兔源码网 ( 赣ICP备17001544号 公网安备36112102000036号 )

兔源码 QQ交流群:493651246  GMT+8, 2019-7-19 13:55
←站长统计工具 查看密码:tuyuanma

兔源码DZ模板下载 站长邮箱:tuyuanma@qq.com 站长QQ:3197813386 网站地图

© 2001-2013 本站内容皆来自互联网及用户分享,如需删除请提供软著或商标证书。

     
快速回复 返回顶部 返回列表