ASP Hack & Anti-Hack (通過asp入侵web server,竊取檔案毀壞系統,這決非聳人聽聞...)

來源:互聯網
上載者:User
server|web     ASP Hack & Anti-Hack    

    本文主要敘及有關asp/iis的安全性問題及其相應對策,不提倡網友使用本文提及的
方法進行任何破壞,否則帶來的後果自負

    通過asp入侵web server,竊取檔案毀壞系統,這決非聳人聽聞...

    iis的安全性問題
    1.iis3/pws的漏洞
    我實驗過,win95+pws上運行ASP程式,只須在瀏覽器地址欄內多加一個小數點
ASP程式就會被下載下來。IIS3聽說也有同樣的問題,不過我沒有試出來。
    2.iis4的漏洞
    iis4一個廣為人知的漏洞是::$DATA,就是ASP的url後多加這幾個字元後,代碼
也可以被看到,使用ie的view source就能看到asp代碼。win98+pws4沒有這個問題。
    解決的辦法有幾種,一是將目錄設定為不可讀(ASP仍能執行),這樣html檔案
就不能放在這個目錄下,否則html不能瀏覽。二是安裝微軟提供的補丁程式。三是
在伺服器上安裝ie4.01sp1。
    
    3.支援ASP的免費首頁面臨的問題
    你的ASP代碼可能被人得到。
    ASP1.0的例子裡有一個檔案用來查看ASP原代碼,/ASPSamp/Samples/code.asp
    如果有人把這個程式弄上去了,他就可以查看別人的程式了。
    例如: code.asp?source=/someone/aaa.asp
    
    你使用的ACCESS資料庫可能被人下載
    既然ASP程式可以被人得到,別人就能輕而易舉知道你的資料庫放在何處,
並下載它,如果資料庫裡含有的密碼不加密,那...就很危險了。
    webmaster應該採取一定的措施,嚴禁code.asp之類的程式(似乎很難辦到,
但可以定期檢索特徵代碼),限制mdb的下載(不知行不行)

    4.來自filesystemobject的威脅
    IIS4的ASP的檔案操作可以通過filesystemobject實現,包括文字檔的讀寫
目錄操作、檔案的拷貝改名刪除等,但是這個東東也很危險。利用filesystemobjet
可以篡改下載fat分區上的任何檔案,即使是ntfs,如果許可權沒有設定好的話,同樣也能
破壞,遺憾的是很多webmaster只知道讓web伺服器運行起來,很少對ntfs進行使用權限設定。
    比如,一台提供虛擬機器主機服務的web伺服器,如果許可權沒有設定好,使用者可以
輕而易舉地篡改刪除機器上地任何檔案,甚至讓nt崩潰。
    程式請參考http://www.pridechina.com/chinaasp/上的active server explorer,
該程式可以瀏覽不設防web伺服器的所有檔案和目錄。   
    webmater應該將web目錄建在ntfs分區上,非web目錄不要使用everyone full
control,而應該是administrator才可以full control。

    5.ASP應用程式可能面臨的攻擊
    飛鳥首頁http://flybird-home.yeah.net上的留言本、www bbs程式數次遭到
javascript炸彈的攻擊,很遺憾他們都失敗了,比如有人寫〈script〉do while(true)
alert();〈/script〉,但只顯示了源碼。原因在于飛鳥的程式將〈〉轉化了。
    支援javascript固然可以讓人家使用帶顏色字型花哨的留言,但我更注重於"安全
第一" :)    

    ---------------------------------------------------
    歡迎指正本文中存在的錯誤。
    飛鳥 (veryhard)
    來自http://www.onlinechina.net/friend/flybird/
    歡迎參觀
        飛鳥之家 : http://www.onlinechina.net/friend/flybird/bbs/
        CHINA ASP: http://www.pridechina.com/chinaasp/    



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。