如果要加强Apache服务器的安全性,就应该检查CGI(公共网关接口)的使用。一个应用程序中的漏洞通常在用户接触数据库时的某个地方暴露出来,而这个地方正是CGI。它是Web服务器和外部程序之间的桥梁,用来告知这些程序该如何执行以满足浏览器的需求。CGI控制着两个方向的数据格式。它是一个协议,而不是一种语言,可以用很多方法来实现。
CGI脚本的一个大问题是服务器的默认设置很容易被利用。下面一些是最危险的:
CGI脚本嵌入在Web应用程序中,带着用户直接进入服务器内部,在这里脚本拥有权限,能够访问服务器资源,恶意的用户会滥用这些权限。但是你可以在此增加一层保护层,办法是将CGI脚本封装隔离起来,从而使CGI脚本、应用程序以及用户无法利用服务器的设置缺陷。封装器可以拥有访问CGI脚本所必须的权限和资源,这样黑客最多只能拥有封装器的权限和资源,而不是脚本本身。
