Web服务器存在的重要漏洞包含物理路径泄漏、源代码泄漏、目录遍历、缓冲区溢出、拒绝服务、SQL注入和跨站脚本履行漏洞等。无论是什么漏洞,都体现了安全是一个整体的真理,考虑Web服务器的安全性,必需要考虑到与之相配合的操作系统。
物理路径泄漏一般是由于Web服务器处理用户恳求出错导致的,如通过提交一个超长的恳求,或者是某个精心结构的特别恳求,抑或是恳求一个Web服务器上不存在的文件。这些恳求都有一个共同特点,即被恳求的文件确定属于动态脚本(如CGI、ASP等),而不是静态HTML页面。
目录遍历对于Web服务器来说并不多见,通过对任意目录附加“,./"”,或者是在有特别意义的目录上附加“./”,或者是附加“./"”的一些变形,如“…”或“.!”甚至其编码,都可能导致目录遍历。以前非常风行的IS二次解码漏洞和 Unicode解码漏洞都可以看作是变形后的编码引起的。
拒绝服务产生的原因多种多样,重要包含超长URL、特别目录、超长HTTPHeader域、畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特别恳求时不知所措或者是处理方法不当,因此出错,导致过程终止或挂起。
