ASP 网站的上传漏洞安全
设计 上传漏洞 对于上传漏洞,一般的程序员都能做到在前台避免 ASP、ASA、CER 等类型的文件上传, 所以对于前台的问题,这里不再赘述。
笔者是厦门市某中学的网管, 承担网站的日常管理维护工作。 不知读者们是否有过类似 经历:ASP 网站常被无聊骇客攻击,却苦于缺乏有效的预防措施?经笔者核实,我校网站 的几次被黑都是因为骇客使用了 ASP 木马(如海洋顶端 ASP 木马) 。遭遇这几次的攻击, 笔者经过认真分析,总结经验,以下将重点谈谈 ASP 网站如何防御 ASP 木马。 ASP 木马本身就是个 ASP 文件。所以很关键的一点是限制 ASP 文件的上传。一般 ASP 网站本身就有文件上传功能,并且默认为限制 ASP 文件上传,不过骇客能够想方设法上传 他们的木马文件。国内较常见的就是使用“xx 老兵网站上传利用工具” 它先将木马文件 , 的扩展名改为 JPG 或者 GIF,进行上传,然后再改回 ASP 文件。针对这种方法我们该怎么 办呢? 基本要求 要防患于未然,一些前期
工作必须先做好。首先就是养成及时备份的习惯;其次,如果 你的网站采用 Access 数据库,那么请保证网站的主数据库不能是以 MDB 为扩展名,将其 扩展名改为 ASP,这样可以防止骇客直接下载网站数据库并猜解网站管理员密码;第三, 网站管理员密码位数推荐超过 12 位。这样即使不小心被下载数据库,因为一般成熟的 ASP 网站数据库密码部分都会采用 MD5 码加密,暴力破解也需要相当长的时间。这些基本的要 求如果都做到了,那我们就来看看具体如何防御 ASP 木马。 安装杀毒软件 一个最好的方法就是能够通过杀毒软件的实时监控来查杀。 这样在实时监控的时候, 一 旦发现木马,可以立刻查杀。可惜并不是所有的杀毒
软件均能识别这种类似“海阳顶端”的 ASP 木马,比如我们用的 xx 服务器版,对此 ASP 木马就无能为力。 限制执行权限 虽然无法通过杀毒软件查杀木马, 不过还可以采取其他方法。 以知名的动易网站管理系 统或者动网论坛来说,默认是允许注册用户上传文件的。骇客可以利用工具将 ASP 木马伪 装后上传至服务器。 但是关键就在于他们上传文件所存放的目录是固定的, 具体说就是通过 网站上传的文件只会出现在我们 ASP 网站
程序所指定的目录下。 如果要完全限制网站
注册用户上传文件的权限是不现实的。所以,我们能做的第一步, 就是禁止 ASP 文件在此目录的执行权限。目的就是让上传的 ASP 木马无法执行。 具体方法如下:
1. 打开 IIS,右键点击网站里面供上传的目录,点属性,弹出如图 1 的窗口; 2. 将此目录的“执行权限”设置成
“无” ; 3. 同样的方法,再将存放数据库的文件夹以及其余几个可供用户上传文件的文件夹的 “执行权限”全都设置成“无” 。 设置服务器安全权限 即使限制了上传目录的 ASP 的执行权限,也无法保证服务器的绝对安全。所以,服务 器上也要进行设置。 服务器操作系统以 Windows 2003 为例, 首先要将磁盘转为 NTFS 格式。 其次,可以将默认的 Administrator 改名,并设置足够位数的密码(推荐 12 位以上) 。为了 欺骗骇客,还可以另外建一个 Administrator,并设置密码,赋予最低权限。 在 Windows 2003 操作
系统里面设置相应文件夹的权限。由于网站做好后一段时间内都 不会随便对
源代码进行修改, 所以可以对不需要进行修改的地方设置为只读权限, 仅开放几 个上传的文件夹的可写权限。对系统默认的 Everyone 的权限进行限制,拒绝 Everyone 的删 除以及修改权限。仅在我们需要对网站进行修改的时候,再暂时将此限制去掉。 操作过程如下: 1. 对存放网站的文件夹点右键,点击“共享和安全” ; 2. 在安全选项卡上,可以看到如图 2 所示界面; 3. 为限制 Everyone 的权限。点击图 2 下面的高级按钮; 4. 在弹出的“高级安全设置”对话框中的“权限”选项