`
love~ruby+rails
  • 浏览: 849621 次
  • 性别: Icon_minigender_1
  • 来自: lanzhou
社区版块
存档分类
最新评论

Apache严重漏洞攻击代码公开

阅读更多

Apache中的一个严重漏洞将使得拒绝服务攻击(DoS)变得异乎简单。

  Apache 1.x,2.x,dhttpd,GoAhead WebServer和Squid确认都受到影响;IIS6.0,IIS7.0和lighttpd未被波及。Apache基金会目前还没有发布补丁。

  ha.ckers公开的Slowloris代码允许对一台特定的服务器发动缓慢的拒绝访问攻击,而不是用堵塞整个网络,它能让一台机器攻陷了另一台机器的 web server,只需使用极少的带宽,对不相关的服务和端口的副效应降到最低。拒绝服务的理想攻击情况是除了webserver不可访问之外,其它服务都完整无缺。Slowloris便源自这个理念,相比大多数攻击方法它更隐蔽。Slowloris首先发送一个不完整的HTTP请求,打开连接,然后每隔一段 时间发送剩余的header,以保证通讯端不被关闭,于是webserver的一个线程便被占用了。由于webserver允许的线程数量是有限制的,因 此Slowloris会缓慢的消耗掉所有的通讯端口。Slowloris是一个Perl程序,需要Perl解释器才能运行。

分享到:
评论

相关推荐

    apache 2.2.14漏洞代码和exp

    版本2.2.14在发布时可能存在一些安全漏洞,这些漏洞可能被恶意攻击者利用,对服务器造成严重威胁。本文将深入探讨Apache 2.2.14中的漏洞以及相关的exploit(利用代码)。 首先,我们需要理解什么是安全漏洞。在软件...

    Apache Log4j2 远程代码执行漏洞检测工具

    在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成严重威胁...

    Apache-Tomcat从文件包含到RCE漏洞原理深入分析1

    2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat的文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...

    2022年信息安全漏洞通报1月.pdf

    这个漏洞允许攻击者在目标系统上执行任意代码,从而可能导致严重的安全风险。为缓解这个问题,Apache官方已经发布了新版本修复漏洞,建议所有受影响的用户立即检查并更新到最新版本。 另一个值得注意的漏洞是Polkit...

    ApacheLog4j_Win.zip

    Log4j 2的安全漏洞,CVE-2021-44228,是2021年底发现的一个严重漏洞,影响了全球大量使用Log4j的系统。这个漏洞允许攻击者通过在日志记录中插入恶意代码来执行远程代码,从而完全控制受影响的系统。由于Log4j在许多...

    文件上传漏洞的思维导图

    攻击者通过这类漏洞能够上传恶意文件,从而可能对系统造成严重破坏,包括执行任意代码、获取敏感信息甚至完全控制服务器。以下是对文件上传漏洞相关知识点的详细说明: 1. **文件上传验证**:验证是防止上传漏洞的...

    tomcat.8.5.88

    3. **目录遍历**:这种漏洞允许攻击者访问服务器上原本不应公开的目录和文件。如果Tomcat没有正确限制对文件系统的访问,攻击者可能能查看或修改服务器上的重要文件。 4. **远程代码执行(RCE)**:某些漏洞可能让...

    apache-tomcat-7.0.109版本

    CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat AJP协议远程代码执行漏洞”。该漏洞存在于Apache Tomcat的AJP/1.3协议处理中,攻击者可以利用这个漏洞在受影响的服务器上执行任意代码,从而获取...

    Struts2漏洞利用工具2019版

    2019年,Struts2的多个高危漏洞被公开,如S2-045、S2-048等,这些漏洞允许攻击者通过精心设计的HTTP请求触发漏洞,获取服务器权限,甚至完全控制服务器。"Struts2漏洞利用工具2019版 V2.3"就是针对这些漏洞的检测...

    2021年度漏洞态势观察报告.pdf

    2. 隐蔽的威胁:46%的已知被利用的漏洞没有公开的Exploit,这意味着很多威胁并未明显暴露,加强攻击面管理是防范未知威胁的关键。 3. 0day漏洞的威胁:2021年攻防演习期间,大量0day漏洞被使用,特别是未被国外漏洞...

    开源代码安全之痛.pdf

    更为严重的是,Struts2作为Apache软件基金会支持的一个开源项目,在近年来频繁遭遇安全漏洞攻击,影响了国内众多大型网站和政府网站的安全。 二、开源项目检测计划和实例分析 开源项目的检测是确保开源代码安全的...

    struts2 漏洞 "cve-2017-5638" 研究文档

    近日,安恒信息安全研究院WEBIN实验室的高级安全研究员nike.zheng发现,在著名的J2EE框架Struts2中存在一个远程代码执行的严重漏洞。这一漏洞被官方确认并赋予漏洞编号S2-045,CVE编号为cve-2017-5638,被定级为高...

    K8_Struts2_EXP S2-045 & 任意文件上传 20170310

    S2-045漏洞,全称为"Apache Struts2 S2-045 - REST插件XSLT动作远程代码执行漏洞",它存在于Struts2的REST插件中,由于对XSLT动作处理不当,攻击者可以构造特定的HTTP请求,从而在服务器端执行任意代码。这个漏洞的...

    Struts2和Webwork远程命令执行漏洞分析1

    Struts2和Webwork远程命令执行漏洞主要源于Apache Struts2框架中的一个设计缺陷,该框架使用OGNL(Object-Graph Navigation Language)表达式来处理用户输入,这为恶意攻击者提供了可乘之机。该漏洞发生在Struts2的...

    zip-slip-vulnerability

    这个漏洞由Snyk Security团队在2018年6月5日公开披露之前发现,并影响了包括HP、Amazon、Apache、Pivotal在内的数千个项目(具体的CVE编号和受影响项目列表可参考相关链接)。 Zip Slip漏洞存在于多个生态系统中,...

    PHP安全问题:远程溢出、DoS、safe_mode绕过漏洞.pdf

    公开的攻击程序(如Packet Storm和Shadow Penguin提供的示例)展示了这一漏洞的易受攻击性,强调了升级至最新稳定版本的重要性。 **远程拒绝服务(DoS)漏洞**存在于PHP-4.2.0和PHP-4.2.1版本中,涉及对multipart/...

    浅谈开源软件与工业控制系统安全的关系

    攻击原因在于使用的Java Web应用程序框架Apache Struts中存在漏洞(CVE-2017-5638),这一案例展示了开源软件中存在的安全漏洞可能带来的严重后果。 - **Rapid SCADA 提权漏洞**:2018年,知名开源工控系统Rapid ...

    VulApps:快速构建各种漏洞环境(各种漏洞环境)

    这些漏洞允许攻击者通过精心构造的HTTP请求执行任意系统命令,对目标系统造成严重威胁。VulApps包含的Struts漏洞环境可以帮助用户理解这些漏洞的工作原理,并进行安全测试。 3. CVE编号的漏洞: CVE(Common ...

Global site tag (gtag.js) - Google Analytics