网站如何防范“上传漏洞” 网站如何防范“上传漏洞”入侵
“上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有 上传页面的网站,都存在上传漏洞。本文将介绍常见的上传漏洞及其 防范技巧。 一、能直接上传 asp 文件的漏洞 (上传附件页面中对上传类型 加以控制) 如果网站有上传页面,就要警惕直接上传 asp 文件漏洞。例如去 年流行的动网 5.0/6.0 论坛,就有个 upfile.asp 上传页面,该页面 对上传文件扩展名过滤不严,导致黑客能直接上传 asp 文件,因此黑 客只要打开 upfile.asp 页,直接上传,asp 木马即可拿到 webshell、 拥有网站的管理员控制权。 除此之外,目前已发现的上传漏洞,还有动感购物商城、动力上 传漏洞、 乔客上传漏洞等, 只要运行“明小子 Domain3.5”, 点击“综 合上传”,即可看到这些著名的上传漏洞。 像明小子这样的上传漏洞利用工具如今还有很多,例如上传漏洞 程序 4in1、动易 2005 上传漏洞利用工具、雷池新闻
系统上传漏洞利 用工具、MSSQL 上传漏洞利用工具等等,使用此类工具,只需填写上 传页面网址和 Cookies,即可成功入侵网站。
【防范方法】:为了防范此类漏洞,建议网站采用最新版(例如 动网 7.1 以上版本)程序建站,因为最新版程序一般都没有直接上传 漏洞,当然删除有漏洞的上传页面,将会最安全,这样黑客再也不可 能利用上传漏洞入侵了! 如果不能删除上传页面,为了防范入侵,建议在上传程序中添加 安全代码,禁止上传 asp\asa\js\exe\com 等类文件,这需要管理者 能看懂 asp 程序。 二、00 上传漏洞 目前网上流行的所有无组件上传类都存在此类漏洞——即黑客 利用“抓包嗅探”、“ULTRAEDIT”和“
网络军刀”等工具伪造 IP 包,突破服务器端对上传文件名、路径的判断,巧妙上传 ASP、ASA、 CGI、CDX、CER、ASPX 类型的木马。 例如黑客上传了一个木马文件(xiaomm.asp 空格.jpg),由于上 传
程序不能正确判断含有十六进制 00 的文件名或路径,于是就出现 了漏洞,当上传程序接收到“xiaomm.asp 空格.jpg”文件名数据时, 一旦发现 xiaomm.asp 后面还有空格(十六进制的 00),它就不会再 读下去,于是上传的文件在服务器上就会被保存成 xiaomm.asp,因 此上传木马就成功了! 【防范方法】:最安全的防范办法就是删除上传页面。 (多数 网站的处理方式:将上传的文件名更名,然后再通过 http 协议发送
与服务器端,这样就可以避免传送过程中 00 造成的读取文件扩展名 的丢失
问题。) 三、图片木马上传漏洞 有的网站(例如动网 7.1SP1 博客功能),其后台管理中可以恢 复/备份数据库,这会被黑客用来进
行图片木马入侵。 图片木马入侵过程如下:首先将本地木马(例如 F:\labxw\xiaomm.asp)扩展名改为.gif,然后打开上传页面,上传 这个木马(例如 F:\labxw\xiaomm.gif);再通过注入法拿到后台管 理员的账号密码,溜进网站后台管理中,使用备份数据库功能将.gif 木马备份成.asp 木马(例如 xiaomm.asp),即在“备份数据库路径 (相对)”输入刚才图片上传后得到的路径,在“目标数据库路径” 输入:xiaomm.asp,提示恢复数据库成功;现在打开 IE,输入刚才 恢复数据库的 asp 路径,木马就能运行了。 【防范方法】:删除后台管理中的恢复/备份数据库功能。 四、添加上传类型漏洞 如今大多数论坛后台中都允许添加上传类型,这也是个不小的漏 洞!只要黑客用注入法拿到后台管理员账号密码,然后进入后台添加 上传类型,在上传页面中就能直接上传木马!
例如
bbsxp 后台中允许添加 asa|asP 类型,通过添加操作后,就 可以上传这两类文件了;e
webeditor 后台也能添加 asa 类型,添加 完毕即可直接上传 asa 后缀的木马; LeadBbs3.14 后台也允许在上 而 传类型中增加 asp 类型,不过添加时 asp 后面