数据挖掘工具
12.5 基于文件及路径名的攻击(Attacks Based On File and Path Names) 数据挖掘论坛
数据挖掘研究院
HTTP原始服务器的实现应当注意,要对以服务器管理员名义发出的,对某个文件的HTTP请求进行限制。如果HTTP服务器直接将HTTP URI发送给系统调用,服务器要特别注意,当某个请求文件不是发往HTTP客户端时,要予以拒绝服务。例如,在Unix、Microsoft Windows以及其它的操作系统使用”..”做为上级目录名。在这样的系统下,HTTP服务器端必须禁止通过使用这种结构的请求URI来访问HTTP服务器其它范围的资源。同样,服务器端内部使用的一些文件,包括访问控制文件,配置文件、script代码等,也要受到特别保护,以避免被非法请求获取,导致系统敏感信息暴露。实验证明,哪怕是最小的bug,也可能导致严重的安全问题。 数据挖掘实验室
数据挖掘实验室
13. 感谢(Acknowledgments) 数据挖掘研究院
数据挖掘论坛
本文档着重论述补充反馈方式(augmented BNF)及由David H. Crocker在RFC822[7]中定义的一般结构。同样,它使用了许多由Nathaniel Borenstein和Ned Freed为MIME [5]做的许多定义。我们希望通过它们来减少对HTTP/1.0及mail消息格式之间关系的混淆。 数据挖掘研究院
HTTP协议在过去四年中发展很快,它得益于庞大而活跃的开发团体――是他们,这些参与WWW讨论邮件列表的人们,造就了HTTP在全球范围内的成功。Marc Andreessen,Robert Cailliau, Daniel W. Connolly,Bob Denny,Jean-Francois Groff, Phillip M. Hallam-Baker, Hakon W. Lie, Ari Luotonen,Rob McCool, Lou Montulli, Dave Raggett,Tony Sanders,和Marc VanHeyningen,他们为本文档早期版本投入了巨大精力。Paul Hoffman提供了关于信息状态方面的信息,以及附录C、D的内容。 数据挖掘交友
数据挖掘论坛
数据挖掘论坛
数据挖掘研究院
数据挖掘研究院
数据挖掘论坛
数据挖掘工具
数据挖掘实验室
数据挖掘实验室
数据挖掘交友
数据挖掘论坛
数据挖掘交友
数据挖掘工具
数据挖掘研究院
数据挖掘实验室
数据挖掘交友
数据挖掘工具
Berners-Lee, et al Informational [Page 51]
数据挖掘论坛
数据挖掘工具
该文档从HTTP-WG成员的评注中得益非浅。以下是对本规范做出贡献的人们: 数据挖掘研究院
Gary Adams Harald Tveit Alvestrand
Keith Ball Brian Behlendorf 数据挖掘实验室
Paul Burchard Maurizio Codogno 数据挖掘论坛
Mike Cowlishaw Roman Czyborra
Michael A. Dolan John Franks 数据挖掘实验室
Jim Gettys Marc Hedlund 数据挖掘交友
Koen Holtman Alex Hopmann
Bob Jernigan Shel Kaphan 数据挖掘工具
Martijn Koster Dave Kristol 数据挖掘交友
Daniel LaLiberte Paul Leach 数据挖掘工具
Albert Lunde John C. Mallery 数据挖掘交友
Larry Masinter Mitra
Jeffrey Mogul Gavin Nicol 数据挖掘工具
Bill Perry Jeffrey Perry 数据挖掘工具
Owen Rees Luigi Rizzo 数据挖掘工具
David Robinson Marc Salomon 数据挖掘工具
Rich Salz Jim Seidman 数据挖掘实验室
Chuck Shotton Eric W. Sink 数据挖掘论坛
Simon E. Spero Robert S. Thau 数据挖掘交友
Francois Yergeau Mary Ellen Zurko
Jean-Philippe Martin-Flatin 数据挖掘研究院
数据挖掘交友
14. 参考书目(References) 数据挖掘交友
数据挖掘论坛
[1] Anklesaria, F., McCahill, M., Lindner, P., Johnson, D.,
Torrey, D., and B. Alberti, "The Internet Gopher Protocol: A 数据挖掘交友
Distributed Document Search and Retrieval Protocol", RFC 1436, 数据挖掘工具
University of Minnesota, March 1993. 数据挖掘论坛
数据挖掘实验室
[2] Berners-Lee, T., "Universal Resource Identifiers in WWW: A 数据挖掘论坛
Unifying Syntax for the Expression of Names and Addresses of
Objects on the Network as used in the World-Wide Web", 数据挖掘交友
RFC 1630, CERN, June 1994. 数据挖掘交友
数据挖掘实验室
[3] Berners-Lee, T., and D. Connolly, "Hypertext Markup Language - 数据挖掘交友
2.0", RFC 1866, MIT/W3C, November 1995. 数据挖掘交友
数据挖掘实验室
[4] Berners-Lee, T., Masinter, L., and M. McCahill, "Uniform
Resource Locators (URL)", RFC 1738, CERN, Xerox PARC, 数据挖掘论坛
University of Minnesota, December 1994. 数据挖掘实验室
Berners-Lee, et al Informational [Page 52] 数据挖掘工具
数据挖掘工具
数据挖掘交友
[5] Borenstein, N., and N. Freed, "MIME (Multipurpose Internet Mail 数据挖掘工具
Extensions) Part One: Mechanisms for Specifying and Describing 数据挖掘工具
the Format of Internet Message Bodies", RFC 1521, Bellcore,
Innosoft, September 1993.
[6] Braden, R., "Requirements for Internet hosts - Application and 数据挖掘工具
Support", STD 3, RFC 1123, IETF, October 1989. 数据挖掘工具
[7] Crocker, D., "Standard for the Format of ARPA Internet Text 数据挖掘论坛
Messages", STD 11, RFC 822, UDEL, August 1982. 数据挖掘实验室
[8] F. Davis, B. Kahle, H. Morris, J. Salem, T. Shen, R. Wang, 数据挖掘工具
J. Sui, and M. Grinbaum. "WAIS Interface Protocol Prototype 数据挖掘研究院
Functional Specification." (v1.5), Thinking Machines 数据挖掘论坛
Corporation, April 1990. 数据挖掘工具
[9] Fielding, R., "Relative Uniform Resource Locators", RFC 1808, 数据挖掘论坛
UC Irvine, June 1995. 数据挖掘研究院
[10] Horton, M., and R. Adams, "Standard for interchange of USENET 数据挖掘论坛
Messages", RFC 1036 (Obsoletes RFC 850), AT&T Bell 数据挖掘交友
Laboratories, Center for Seismic Studies, December 1987.
[11] Kantor, B., and P. Lapsley, "Network News Transfer Protocol: 数据挖掘工具
A Proposed Standard for the Stream-Based Transmission of News", 数据挖掘论坛
RFC 977, UC San Diego, UC Berkeley, February 1986. 数据挖掘论坛
[12] Postel, J., "Simple Mail Transfer Protocol." STD 10, RFC 821, 数据挖掘工具
USC/ISI, August 1982.
[13] Postel, J., "Media Type Registration Procedure." RFC 1590,
USC/ISI, March 1994. 数据挖掘工具
[14] Postel, J., and J. Reynolds, "File Transfer Protocol (FTP)", 数据挖掘交友
STD 9, RFC 959, USC/ISI, October 1985. 数据挖掘论坛
[15] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 数据挖掘交友
1700, USC/ISI, October 1994. 数据挖掘实验室
[16] Sollins, K., and L. Masinter, "Functional Requirements for 数据挖掘工具
Uniform Resource Names", RFC 1737, MIT/LCS, Xerox Corporation, 数据挖掘实验室
December 1994. 数据挖掘研究院
[17] US-ASCII. Coded Character Set - 7-Bit American Standard Code 数据挖掘论坛
for Information Interchange. Standard ANSI X3.4-1986, ANSI,
1986. 数据挖掘论坛
数据挖掘工具
数据挖掘交友
数据挖掘研究院
数据挖掘实验室
Berners-Lee, et al Informational [Page 53] 数据挖掘研究院
数据挖掘工具
[18] ISO-8859. International Standard -- Information Processing -- 数据挖掘工具
8-bit Single-Byte Coded Graphic Character Sets -- 数据挖掘交友
Part 1: Latin alphabet No. 1, ISO 8859-1:1987. 数据挖掘交友
Part 2: Latin alphabet No. 2, ISO 8859-2, 1987. 数据挖掘工具
Part 3: Latin alphabet No. 3, ISO 8859-3, 1988. 数据挖掘论坛
Part 4: Latin alphabet No. 4, ISO 8859-4, 1988. 数据挖掘实验室
Part 5: Latin/Cyrillic alphabet, ISO 8859-5, 1988. 数据挖掘论坛
Part 6: Latin/Arabic alphabet, ISO 8859-6, 1987.
Part 7: Latin/Greek alphabet, ISO 8859-7, 1987. 数据挖掘交友
Part 8: Latin/Hebrew alphabet, ISO 8859-8, 1988.
Part 9: Latin alphabet No. 5, ISO 8859-9, 1990. 数据挖掘论坛
数据挖掘工具
15. 作者地址(Authors" Addresses) 数据挖掘交友
数据挖掘实验室
Tim Berners-Lee 数据挖掘交友
Director, W3 Consortium 数据挖掘交友
MIT Laboratory for Computer Science
545 Technology Square 数据挖掘工具
Cambridge, MA 02139, U.S.A. 数据挖掘工具
Fax: +1 (617) 258 8682 数据挖掘实验室
EMail: timbl@w3.org
Roy T. Fielding 数据挖掘论坛
Department of Information and Computer Science
University of California
Irvine, CA 92717-3425, U.S.A. 数据挖掘工具
数据挖掘交友
Fax: +1 (714) 824-4056
EMail: fielding@ics.uci.edu 数据挖掘交友
数据挖掘实验室
数据挖掘实验室
Henrik Frystyk Nielsen 数据挖掘实验室
W3 Consortium
MIT Laboratory for Computer Science
545 Technology Square 数据挖掘工具
Cambridge, MA 02139, U.S.A. 数据挖掘工具
数据挖掘交友
Fax: +1 (617) 258 8682 数据挖掘交友
EMail: frystyk@w3.org 数据挖掘论坛
数据挖掘实验室
数据挖掘工具
数据挖掘工具
Berners-Lee, et al Informational [Page 54] 数据挖掘实验室
数据挖掘实验室
数据挖掘研究院
附录(Appendices) 数据挖掘交友
这些信息出现在附录中仅有一个理由,即他们没有成为HTTP/1.0规范的组成部分。 数据挖掘实验室
数据挖掘实验室
A. Internet介质类型消息/http(Internet Media Type message/http) 数据挖掘实验室
数据挖掘实验室
做为HTTP/1.0协议的补充,该文档做为Internet介质类型”message/http”的规范。下面内容被登记在IANA[13]中。 数据挖掘工具
介质类型名(Media Type name): message 数据挖掘工具
数据挖掘研究院
介质子类型名(Media subtype name): http
数据挖掘论坛
请求参数(Required parameters): none 数据挖掘研究院
可选参数项(Optional parameters): version, msgtype 数据挖掘交友
数据挖掘工具
版本(version):附加消息的HTTP版本号,比如“1.0”。如果没有给出,版本可以从其主体的第一行中得到。
数据挖掘论坛
消息类型(msgtype):消息类型――请求(request)或回应(response)。如果没有给出,版本可以从其主体的第一行中得到。 数据挖掘研究院
数据挖掘论坛
编码考虑(Encoding considerations):只允许用"7bit", "8bit",或"binary" 。 数据挖掘论坛
数据挖掘工具
安全考虑(Security considerations): none
数据挖掘交友
B. 容错应用(Tolerant Applications)
数据挖掘研究院
虽然此文档指明了产生HTTP/1.0消息的必要条件,并非所有的应用程序都校正他们的实现。因此,我们建议应用程序增强其容错能力,以便在岐义仍可被明确解释时,还能保证正常运行。
客户端解析状态行(Status-Line)及服务器解析请求行(Request-Line)时,应当做到容错。特别是,即使只需要一个SP分隔的情况下,它们也可接受以任何数量的SP或HT字符分隔的域。
HTTP标题域的行终止符是顺序字符CRLF。而我们建议应用程序在解析这类标题时,也应识别单个LF(没有前面的CR)做为终止符情况。 数据挖掘论坛
数据挖掘实验室
数据挖掘实验室
数据挖掘交友
数据挖掘实验室
数据挖掘交友
数据挖掘交友
数据挖掘论坛
数据挖掘工具
Berners-Lee, et al Informational [Page 55] 数据挖掘论坛
数据挖掘研究院
数据挖掘论坛
C. 与MIME的关系(Relationship to MIME) 数据挖掘实验室
数据挖掘论坛
HTTP/1.0使用了许多为Internet Mail(RFC822[7])及多用途Internet邮件扩展(Multipurpose Internet Mail Extensions)MIME[5]定义的结构,以允许实体通过一种开放的可扩展的机制进行传输。实际上,HTTP中有些特性与RFC1521中讨论的邮件不同,这些区别被用来优化二进制传输的性能,给介质类型的使用提供了更大的自由度,使日期比较变得更加容易,当然,这也是为了兼容早期的一些HTTP服务器及客户端的应用。
数据挖掘工具
在写作本文时,据说RFC1521将被修订。修订版本将会包括一些出现在HTTP/1.0中的已有的应用,但这些应用在目前的RFC1521中尚未包括。 数据挖掘交友
数据挖掘交友
该附录描述了HTTP与RFC1521中的不同之处。代理和网关在限制MIME环境时,应当注意到这些区别,并在必须时提供相应的转换支持。从MIME到HTTP环境的代理和网关也要注意这些区别,因为一些转换可能是必须的。 数据挖掘交友
数据挖掘交友
C.1 转换为规范形式(Conversion to Canonical Form) 数据挖掘研究院
数据挖掘研究院
RFC1521要求Internet邮件实体在被传输前转换成规范形式,正如RFC1521[5]附录C中所描述的那样。本文档中3.6.1节中描述了HTTP在传输时允许的“text”介质类型的子类型的具体形式。 数据挖掘研究院
数据挖掘论坛
RFC1521要求”text”的内容类型(Content-Type)必须用CRLF
|
