Apache严重漏洞攻击代码公开 - CURSED! - ITeye博客

`

love~ruby+rails

浏览: 849750 次
性别:
来自: lanzhou

最近访客更多访客>>

u012363178

dirdirdirdir

javaeye-hanlingbo

ssgemail

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

2010-03 ( 20)
2010-02 ( 27)
2010-01 ( 24)
更多存档...

最新评论

liu346435400：楼主讲了实话啊，中国程序员的现状，也是只见中国程序员拼死拼活的 ...
中国的程序员为什么这么辛苦
qw8226718：国内ASP.NET下功能比较完善，优化比较好的Spacebui ...
国内外开源sns源码大全
dotjar：敢问兰州的大哥，Prism 现在在12.04LTS上可用么？我 ...
最佳 Ubuntu 下 WebQQ 聊天体验
coralsea：兄弟，卫星通信不是这么简单的，单向接收卫星广播信号不需要太大的 ...
Google 上网
txin0814：我成功安装chrome frame后在IE地址栏前加上cf: ...
IE中使用Google Chrome Frame运行HTML 5

Apache严重漏洞攻击代码公开

博客分类：

web stuff

Apache lighttpd Perl DOS Web

阅读更多

Apache中的一个严重漏洞将使得拒绝服务攻击(DoS)变得异乎简单。

　　Apache 1.x，2.x，dhttpd，GoAhead WebServer和Squid确认都受到影响;IIS6.0，IIS7.0和lighttpd未被波及。Apache基金会目前还没有发布补丁。

　　ha.ckers公开的Slowloris代码允许对一台特定的服务器发动缓慢的拒绝访问攻击，而不是用堵塞整个网络，它能让一台机器攻陷了另一台机器的 web server，只需使用极少的带宽，对不相关的服务和端口的副效应降到最低。拒绝服务的理想攻击情况是除了webserver不可访问之外，其它服务都完整无缺。Slowloris便源自这个理念，相比大多数攻击方法它更隐蔽。Slowloris首先发送一个不完整的HTTP请求，打开连接，然后每隔一段时间发送剩余的header，以保证通讯端不被关闭，于是webserver的一个线程便被占用了。由于webserver允许的线程数量是有限制的，因此Slowloris会缓慢的消耗掉所有的通讯端口。Slowloris是一个Perl程序，需要Perl解释器才能运行。

分享到：

ubuntu Jaunty(9.04) 源列表(较快） | 阿里要走102年阿里的工程师能走多远？

2009-10-04 08:48
浏览 886
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

apache 2.2.14漏洞代码和exp: 版本2.2.14在发布时可能存在一些安全漏洞，这些漏洞可能被恶意攻击者利用，对服务器造成严重威胁。本文将深入探讨Apache 2.2.14中的漏洞以及相关的exploit（利用代码）。首先，我们需要理解什么是安全漏洞。在软件...

Apache Log4j2 远程代码执行漏洞检测工具: 在2021年12月初，一个严重的安全漏洞（CVE-2021-44228）被公开，这个漏洞被称为"Log4Shell"，允许攻击者通过注入恶意的JNDI（Java Naming and Directory Interface）链接来执行远程代码，对受影响的系统造成严重威胁...

Apache-Tomcat从文件包含到RCE漏洞原理深入分析1: 2020年2月20日，CNVD（中国国家信息安全漏洞库）公开了一个关于Apache Tomcat的文件包含漏洞，该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入，包含并执行Tomcat服务器上webapps目录下的任意文件，...

2022年信息安全漏洞通报1月.pdf: 这个漏洞允许攻击者在目标系统上执行任意代码，从而可能导致严重的安全风险。为缓解这个问题，Apache官方已经发布了新版本修复漏洞，建议所有受影响的用户立即检查并更新到最新版本。另一个值得注意的漏洞是Polkit...

ApacheLog4j_Win.zip: Log4j 2的安全漏洞，CVE-2021-44228，是2021年底发现的一个严重漏洞，影响了全球大量使用Log4j的系统。这个漏洞允许攻击者通过在日志记录中插入恶意代码来执行远程代码，从而完全控制受影响的系统。由于Log4j在许多...

文件上传漏洞的思维导图: 攻击者通过这类漏洞能够上传恶意文件，从而可能对系统造成严重破坏，包括执行任意代码、获取敏感信息甚至完全控制服务器。以下是对文件上传漏洞相关知识点的详细说明： 1. **文件上传验证**：验证是防止上传漏洞的...

tomcat.8.5.88: 3. **目录遍历**：这种漏洞允许攻击者访问服务器上原本不应公开的目录和文件。如果Tomcat没有正确限制对文件系统的访问，攻击者可能能查看或修改服务器上的重要文件。 4. **远程代码执行(RCE)**：某些漏洞可能让...

apache-tomcat-7.0.109版本: CVE-2020-1938是2020年公开的一个严重安全漏洞，被称为“Tomcat AJP协议远程代码执行漏洞”。该漏洞存在于Apache Tomcat的AJP/1.3协议处理中，攻击者可以利用这个漏洞在受影响的服务器上执行任意代码，从而获取...

Struts2漏洞利用工具2019版: 2019年，Struts2的多个高危漏洞被公开，如S2-045、S2-048等，这些漏洞允许攻击者通过精心设计的HTTP请求触发漏洞，获取服务器权限，甚至完全控制服务器。"Struts2漏洞利用工具2019版 V2.3"就是针对这些漏洞的检测...

2021年度漏洞态势观察报告.pdf: 2. 隐蔽的威胁：46%的已知被利用的漏洞没有公开的Exploit，这意味着很多威胁并未明显暴露，加强攻击面管理是防范未知威胁的关键。 3. 0day漏洞的威胁：2021年攻防演习期间，大量0day漏洞被使用，特别是未被国外漏洞...

开源代码安全之痛.pdf: 更为严重的是，Struts2作为Apache软件基金会支持的一个开源项目，在近年来频繁遭遇安全漏洞攻击，影响了国内众多大型网站和政府网站的安全。二、开源项目检测计划和实例分析开源项目的检测是确保开源代码安全的...

struts2 漏洞 "cve-2017-5638" 研究文档: 近日，安恒信息安全研究院WEBIN实验室的高级安全研究员nike.zheng发现，在著名的J2EE框架Struts2中存在一个远程代码执行的严重漏洞。这一漏洞被官方确认并赋予漏洞编号S2-045，CVE编号为cve-2017-5638，被定级为高...

K8_Struts2_EXP S2-045 & 任意文件上传 20170310: S2-045漏洞，全称为"Apache Struts2 S2-045 - REST插件XSLT动作远程代码执行漏洞"，它存在于Struts2的REST插件中，由于对XSLT动作处理不当，攻击者可以构造特定的HTTP请求，从而在服务器端执行任意代码。这个漏洞的...

Struts2和Webwork远程命令执行漏洞分析1: Struts2和Webwork远程命令执行漏洞主要源于Apache Struts2框架中的一个设计缺陷，该框架使用OGNL（Object-Graph Navigation Language）表达式来处理用户输入，这为恶意攻击者提供了可乘之机。该漏洞发生在Struts2的...

zip-slip-vulnerability: 这个漏洞由Snyk Security团队在2018年6月5日公开披露之前发现，并影响了包括HP、Amazon、Apache、Pivotal在内的数千个项目（具体的CVE编号和受影响项目列表可参考相关链接）。 Zip Slip漏洞存在于多个生态系统中，...

PHP安全问题：远程溢出、DoS、safe_mode绕过漏洞.pdf: 公开的攻击程序（如Packet Storm和Shadow Penguin提供的示例）展示了这一漏洞的易受攻击性，强调了升级至最新稳定版本的重要性。 **远程拒绝服务（DoS）漏洞**存在于PHP-4.2.0和PHP-4.2.1版本中，涉及对multipart/...

浅谈开源软件与工业控制系统安全的关系: 攻击原因在于使用的Java Web应用程序框架Apache Struts中存在漏洞（CVE-2017-5638），这一案例展示了开源软件中存在的安全漏洞可能带来的严重后果。 - **Rapid SCADA 提权漏洞**：2018年，知名开源工控系统Rapid ...

VulApps：快速构建各种漏洞环境（各种漏洞环境）: 这些漏洞允许攻击者通过精心构造的HTTP请求执行任意系统命令，对目标系统造成严重威胁。VulApps包含的Struts漏洞环境可以帮助用户理解这些漏洞的工作原理，并进行安全测试。 3. CVE编号的漏洞： CVE（Common ...

Global site tag (gtag.js) - Google Analytics