关闭网站需要多久,做网站比较大的公司,做网站等保收费,男的直接做的视频网站一 前言 Microsoft Active Server Pages#xff08;ASP#xff09;是服务器端脚本编写环境#xff0c;使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序…一 前言 Microsoft Active Server PagesASP是服务器端脚本编写环境使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。 现在很多网站特别是电子商务方面的网站在前台上大都用ASP来实现。以至于现在ASP在网站应用上很普遍。 ASP是开发网站应用的快速工具但是有些网站管理员只看到ASP的快速开发能力却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞后门的困扰包括%81的噩梦密码验证问题IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。 本文试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞阐述ASP安全问题并给出解决方法或者建议。 二 关键字 ASP网络安全IISSSL加密。 三 ASP工作机理 Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段极大地提高了开发的效果。在讨论ASP的安全性问题之前让我们来看看ASP是怎么工作的。ASP脚本是采用明文plain text方式来编写的。 ASP脚本是一系列按特定语法目前支持vbscript和jscript两种脚本语言编写的与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时WEB浏览器将向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后自动通过ISAPI接口调用ASP脚本的解释运行引擎ASP.DLL。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容通过WEB服务器原路返回给WEB浏览器由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。 让我们来看看运行ASP所需的环境 Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000 Microsoft Personal Web Server on Windows 95/98 WINDOWS NT Option Pack所带的Microsoft IIS提供了强大的功能但是IIS在网络安全方面却是比较危险的。因为很少有人会用Windows 95/98当服务器因此本文我更多的从NT中的IIS安全问题来探讨。 四 微软自称的ASP的安全优点 虽然我们本文的重点是探讨ASP漏洞和后门但是有必要谈谈ASP在网络安全方面的优点之所以加个是因为有时这些微软宣称的优点恰恰是其安全隐犯。 微软称ASP在网络安全方面一大优点就是用户不能看到ASP的源程序从ASP的原理上看ASP在服务端执行并解释成标准的HTML语句再传送给客户端浏览器。屏蔽源程序能很好的维护ASP开发人员的版权试想你辛辛苦苦做了一个很优秀的程序给人任意COPY你会怎么想而且黑客还能分析你的ASP程序挑出漏洞。更重要的是有些ASP开发者喜欢把密码有特权的用户名和路径直接写在程序中这样别人通过猜密码猜路径很容易找到攻击系统的入口。但是目前已经发现了很多能查看ASP源程序的漏洞后面我们还要讨论。 IIS支持虚拟目录通过在服务器属性对话框中的目录标签可以管理虚拟目录。建立虚拟目录对于管理WEB站点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中客户通过选择查看源代码很容易就能获取页面的文件路径信息如果在WEB页中使用物理路径将暴露有关站点目录的重要信息这容易导致系统受到攻击。其次只要两台机器具有相同的虚拟目录你就可以在不对页面代码做任何改动的情况下将WEB页面从一台机器上移到另一台机器。还有就是当你将WEB页面放置于虚拟目录下后你可以对目录设置不同的属性如Read、Excute、Script。读访问表示将目录内容从IIS传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用ASP时就必须将你存放.asp文件的目录设置为Excute执行。建议大家在设置WEB站点时将HTML文件同ASP文件分开放置在不同的目录下然后将HTML子目录设置为读将ASP子目录设置为执行这不仅方便了对WEB的管理而且最重要的提高了ASP程序的安全性防止了程序内容被客户所访问。 五 ASP漏洞分析和解决方法 有人说一台不和外面联系的电脑是最安全的电脑一个关闭所有端口不提供任何服务的电脑也是最安全的。黑客经常利用我们所开放的端口实施攻击这些攻击最常见的是DDOS拒绝服务攻击.下面我会列出ASP的二十几个漏洞每个漏洞都会有漏洞描述和解决方法。 1 在ASP程序后加个特殊符号能看到ASP源程序 受影响的版本 win95pws IIS3.0 98pws4 不存在这个漏洞。 IIS4.0以上的版本也不存在这个漏洞。 问题描述 这些特殊符号包括小数点%81, ::$DATA。比如 http://someurl/somepage.asp. http:// someurl/somepage.asp%81 http:// someurl/somepage.asp::$DATA http:// someurl/somepage.asp %2e http:// someurl/somepage %2e%41sp http:// someurl/somepage%2e%asp http:// someurl/somepage.asp %2e http://someurl/msadc/samples/selector/showcode.asp?source/msadc/samples/../../../../../../boot.ini 可以看到boot.ini的文件内容 那么在安装有IIS3.0和win95PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统NTFS这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道 NTFS 支持包含在一个文件中 的多数据流而这个包含了所有内容的主数据流被称之为DATA因此使得在浏览器 里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而 直接导致 ::$DATA 的原因是由于 IIS 在解析文件名的时候出了问题它没有很好地规范文件名。 解决方法和建议 如果是Winodws NT用户安装IIS4.0或者IIS5.0Windows2000不存在这个问题。如果是win95用户安装WIN98和PWS4.0。 2 ACCESS mdb 数据库有可能被下载的漏洞 问题描述 在用ACCESS做后台数据库时如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称那么他能够下载这个ACCESS数据库文件这是非常危险的。比如如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下那么有人在浏览器中打入 http:// someurl/database/book.mdb 如果你的book.mdb数据库没有事先加密的话那book.mdb中所有重要的数据都掌握在别人的手中。 解决方法 (1) 为你的数据库文件名称起个复杂的非常规的名字并把他放在几目 录下。所谓非常规打个比方比如有个数据库要保存的是有关书籍的信息可不要把他起个book.mdb的名字起个怪怪的名称比如d34ksfslf.mdb再把他放在如./kdslf/i44/studi/ 的几层目录下这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了 (2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中比如 DBPath Server.MapPath(cmddb.mdb) conn.Open driver{Microsoft Access Driver (*.mdb)};dbq DBPath 假如万一给人拿到了源程序你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源再在程序中这样写 conn.open shujiyuan (3)使用ACCESS来为数据库文件编码及加密。首先在选取工具-安 全-加密/解密数据库选取数据库如employer.mdb然后接确定接着会出现数据库加密后另存为的窗口存为employer1.mdb。接着employer.mdb就会被编码然后存为employer1.mdb.. 要注意的是以上的动作并不是对数据库设置密码而只是对数据库文件加以编码目的是为了防止他人使用别的工具来查看数据库文件的内容。 接下来我们为数据库加密首先以打开经过编码了的employer1.mdb在打开时选择独占方式。然后选取功能表的工具-安全-设置数据库密码接着输入密码即可。 为employer1.mdb设置密码之后接下来如果再使用ACCEES数据库文件时则ACCESS会先要求输入密码验证正确后才能够启动数据库。 不过要在ASP程序中的connection对象的open方法中增加PWD的参数即可例如 paramdriver{Microsoft Access Driver (*.mdb)};Pwdyfdsfs paramparam;dbqserver.mappath(employer1.mdb) conn.open param 这样即使他人得到了employer1.mdb文件没有密码他是无法看到employer1.mdb的。 五 ASP漏洞分析和解决方法 3 code.asp文件会泄漏ASP代码 问题描述 举个很简单的例子在微软提供的 ASP1.0 的例程里有一个 .asp 文件专门用来查看其它 .asp 文件的源代码该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器而服务器端没有任何防范措施的话他就可以很容易地查看他人的程序。例如 : code.asp?source/directory/file.asp 不过这是个比较旧的漏洞了相信现在很少会出现这种漏洞。 下面这命令是比较新的 http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.aspxxx.asp 最大的危害莫过于asa文件可以被上述方式读出数据库密码以明文形式暴露在黑客眼前; 问题解决或建议 对于IIS自带的show asp code的asp程序文件删除该文件或者禁止访问该目录即可 4、filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞 问题描述 IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现包括文本文件的读写目录操作、文件的拷贝改名删除等但是这个强大的功能也留下了非常危险的 后门。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区如果权限没有设定好的话同样也能破坏一不小心你就可能遭受灭顶之灾 。遗憾的是很多 webmaster 只知道让 web 服务器运行起来很少对 ntfs 进行权限 设置而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此如果你是 Webmaster建议你密切关注服务器的设置尽量将 web 目录建在 ntfs 分区上目录不要设定 everyone full control即使是是管理员组的成员一般也没什么必要 full control只要有读取、更改权限就足够了。 也可以把filesystemobject的组件删除或者改名。 5、输入标准的HTML语句或者javascript语句会改变输出结果 问题描述 在输入框中打入标准的HTML语句会得到什么相的结果呢 比如一个留言本我们留言内容中打入 你好 如果你的ASP程序中没有屏蔽html语句那么就会改变你好字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事反而可以使留言本生动。但是如果在输入框中写个 javascript 的死循环比如特大新闻 那么其他查看该留言的客人只要移动鼠标到特大新闻上就会使用户的浏览器因死循环而死掉。 解决方法和建议 编写类似程序时应该做好对此类操作的防范譬如可以写一段程序判断客户端的输入并屏蔽掉所有的 HTML、 Javascript 语句。 五 ASP漏洞分析和解决方法 6、ASP程序密码验证漏洞 漏洞描述 很多网站把密码放到数据库中在登陆验证中用以下sql,(以asp为例 sqlselect * from user where usernameusernameand pass pass 此时您只要根据sql构造一个特殊的用户名和密码如ben or 11 就可以进入本来你没有特权的页面。再来看看上面那个语句吧 sqlselect * from user where usernameusernameand pass pass 此时您只要根据sql构造一个特殊的用户名和密码如ben or 11 这样,程序将会变成这样: sqlselect*from username where usernamebenor11and passpass or 是一个逻辑运算符,作用是在判断两个条件的时候,只要其中一个条件成立,那么等式将会成立.而在语言中,是以1来代表真的(成立).那么在这行语句中,原语句的and验证将不再继续,而因为11和or令语句返回为真值.。 另外我们也可以构造以下的用户名 usernameaa or usernameaa passaa or passaa 相应的在浏览器端的用户名框内写入aa or usernameaa 口令框内写入aa or passaa,注意这两个字符串两头是没有的。这样就可以成功的骗过系统而进入。 后一种方法理论虽然如此但要实践是非常困难的下面两个条件都必须具备。 1. 你首先要能够准确的知道系统在表中是用哪两个字段存储用户名和口令的只有这样你才能准确的构造出这个进攻性的字符串。实际上这是很难猜中的。 2.系统对你输入的字符串不进行有效性检查。 问题解决和建议 对输入的内容验证和号的处理。 7、IIS4或者IIS5中安装有INDEX SERVER服务会漏洞ASP源程序 问题描述 在运行IIS4或者IIS5的Index Server输入特殊的字符格式可以看到ASP源程序或者其它页面的程序。甚至以及添打了最近关于参看源代码的补丁程序的系统或者没有.htw文件的系统一样存在该问题。获得asp程序甚至global.asa文件的源代码无疑对系统是一个非常重大的安全隐患。往往这些代码中包含了用户密码和ID以及数据库的源路径和名称等等。这对于攻击者收集系统信息进行下一步的入侵都是非常重要的。 通过构建下面的特殊程序可以参看该程序源代码 http://202.116.26.38/null.htw?CiWebHitsFile/default.aspCiRestrictionnoneCiHiliteTypeFull 这样只是返回一些html格式的文件代码但是当你添加%20到CiWebHitsFile的参数后面如下: http://someurl/null.htw?CiWebHitsFile/default.asp%20CiRestrictionnoneCiHiliteTypeFull 这将获得该程序的源代码。 注意/default.asp是以web的根开始计算。如某站点的http:///welcome/welcome.asp 那么对应就是 http://someurl/null.htw?CiWebHitsFile/welcome/welcome.asp%20CiRestrictionnoneCiHiliteTypeFull ) 由于null.htw文件并非真正的系统映射文件所以只是一个储存在系统内存中的虚拟文件。哪怕你已经从你的系统中删除了所有的真实的.htw文件但是由于对null.htw文件的请求默认是由webhits.dll来处理。所以IIS仍然收到该漏洞的威胁。 问题解决或者建议 如果该webhits提供的功能是系统必须的请下载相应的补丁程序。如果没必要请用IIS的MMC管理工具简单移除.htw的映象文件。 补丁程序如下 Index Server 2.0: Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID17727 Alpha: http://www.microsoft.com/downloads/release.asp?ReleaseID17728 Indexing Services for Windows 2000: Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID17726 8、ASP聊天室程序的漏洞 问题描述 如果聊天室ASP程序设计不当很容易会给他人利用来做坏事:可以踢人穿墙捣乱. 首先我们看看聊天室里有什么漏洞大家看看下面这段代码 ………………………… ……………… ……… OnSubmitreturn chksend(); ****** ******** 发言: 悄悄: 对象: 表情: !!!!!! !!!! 以上这段代码是我在某个聊天室用测试者作代号登陆后在发言帧当下来的 这只是一小部份但在这一小部份代码里面就有两个漏洞。 第一个漏洞 大家看看上面的代码加上*号的那两句其中第一句中的测试者就是我登陆的名字还有第二句中的boy是登陆时的性别还有再看看下面我加上! 号的两句第一句里还是有我登陆时的名字这几句都是我现在想说的两个漏洞所在点。如果想在这个聊天室里穿墙的话只要把发言帧的代码当下来另存把form的action改成聊天室的地址然后把再*号的第一句的测试者两字改成想要的名字就可以了。也可以变换性别只要把第二句的 boy改成girl。这就是所谓的穿墙术了。你甚至可以把它改成在线人的名字然后发言这样就冒充别人的姓名谈话。 第二个漏洞 踢人的漏洞就是这个了我们看一下带!号的第一句上面有是合法用户登陆的名字再看第二句他有getout再加上上面还有一段form标签这段就是我们退出聊天室时的代码这个有什么用呢我们先试试看首先还是把form标签的action改成 聊天室的地址不然就不知道提交给哪个家伙了。然后把风风改成你想踢下去的人的名字然后单击退出那就把那个人踢出聊天室了。这个就是聊天室踢人的漏洞。 这两个漏洞主要的原因是这两个漏洞使服务程序不识别客户发出的指令是不是合法用户。 以上两漏骗服务程序来更名发出发言或更名退出使得真正的使用者受害。 当然上面的程序中还有一个漏洞输入框没有对HTML语句和JAVASCRIPT语句做过滤。这个问题我们在漏洞5中已有详细分析这里就不谈了。 问题解决或者建议 在程序设计中让服务程序能识别到底是哪个家伙发出的指令就可以了具体做法可以为每个聊天者发一个识别码象五笔字一样也可以用每个聊天者的密码识别也可以把聊天者的密码随机加密后用作识别等等 反正能使你的服务程序识别到底是谁发出的指令就可以了。
