Apache HTTP服务器在Apache软件基金会(Apache Software Foundation,ASF)的指导下开发,ASF是一个非营利性组织。根据2007年2月份的Netcraft调查(http://news.netcraft.com/archives/web_server_survey.html),Apache服务器的市场份额为58.70%,Microsoft IIS的市场份额为31.09%。
Apache不像IIS那样易受攻击。Apache HTTP服务器上的绝大多数漏洞都出现在这个流行Web服务器的Windows端口上,但这个端口不像原始的UNIX/Linux版本那样在互联网上流行。 人们一直都在发现新的漏洞。绝大多数漏洞都与拒绝服务攻击(DoS)相关。下面给出一些针对Apache Web服务器的常见攻击:
内存消耗DoS——攻击者发送一个带有MIME头的HTTP GET请求,其中包含了带有能够导致服务器崩溃的数行大量空格字符。 SSL无限循环——攻击者通过终止SSL并引发子进程进入无限循环状态而发起DoS攻击。
绕过基本认证——即使攻击者没有被授权访问服务器,他也能够获取对受限资源的访问。这种情况仅仅在Apache 2.0.51中发现,原因在于阻止出现Satisfy命令的代码存在一个缺陷。Satisfy命令授权用户使用用户名和口令或客户端IP地址访问服务器。
IPv6 URI剖析堆溢出——使用Codenomicon(这是一家著名的自动软件测试工具厂商)开发的HTTP测试工具,恶意黑客能够在Apache可移植运行时库中发生输入有效性错误时摧毁服务器。
|