ASP.NET虛擬機器主機的重大安全隱患

asp.net|安全|安全隱患|虛擬機器主機

說明：本文中所有程式均在Windows 2000 Server中文版 + SP2上編譯運行無誤
開發環境：.Net 架構1.0 Version 1.0.3705

一、ASP.NET虛擬機器主機存在的重大隱患

我曾經在WWW.BRINKSTER.COM申請了一個免費的ASP.NET空間，上傳了兩個程式，其中一個查看目錄和檔案的程式證明我的判斷：ASP共用空間伺服器存在的一個安全問題，在 ASP+ 共用空間伺服器中依然存在並且變得更加難以防範！通過這個程式我可以瀏覽所有使用者的ASP+程式，可以查看伺服器的系統日誌……，當然，如果我想刪除什麼的話也不會有什麼問題。為了讓大家更清楚地瞭解這一問題，我們有必要簡單介紹一下ASP中就已經存在的這一問題。

ASP中常用的標準組件：FileSystemObject，這個組件為 ASP 提供了強大的檔案系統訪問能力，可以對伺服器硬碟上的任何有許可權的目錄和檔案進行讀寫、刪除、改名等操作。FSO對象來自微軟提供的指令碼運行庫scrrun.dll中。

使用下面的代碼就可以在ASP中建立一個FSO對象：

Set fso = CreateObject("Scripting.FileSystemObject")

我們使用fso對象包含的屬性和方法，如Drive、Drives、Folder、Floders、File、Files等對伺服器的磁碟、目錄和檔案進行讀、寫、刪除等操作。這一強大的檔案系統訪問能力給ASP共用空間提供者帶來了嚴重的安全問題，很多ASP空間的管理員都刪除此組件或將這個組件改名以避免使用者使用這一標準組件。刪除群組件或組件改名確實是一個簡單的方法並且也很有效，但是卻使廣大使用者無法使用它的強大的功能。網路上還有一種看起來很美的方案，它允許使用者使用 FileSystemObject 組件又不影響伺服器的安全，即對每一個使用者都設定一個獨立的伺服器使用者和單個目錄的操作許可權。但是這種方法是有問題的。因為ASP和ASP.NET中在這方面的問題十分類似，所以我們將在ASP.NET的相應解決辦法部分詳加說明。

在ASP.NET中我們發現這一問題仍然存在，並且變得更加難以解決。這是因為.NET中關於系統IO操作的功能變得更加強大，而使這一問題更嚴重的是ASP.NET所具有的一項新功能，這就組件不需要象ASP那樣必須要使用regsvr32來註冊了，只需將Dll類庫檔案上傳到bin目錄下就可以直接使用了。這一功能確實給開發ASP.NET帶來了很大的方便，但是卻使我們在ASP中將此dll刪除或者改名的解決方案失去效用了，防範此問題就變得更加複雜。在討論解決方案之前，我們先來看一下怎麼來實現上述的危險的功能。

　二、檔案系統操作樣本

在我們編寫代碼之前，有必要瞭解一下我們需要用到的幾個主要的類。這幾個類都在System.IO名稱空間下，System.IO 名稱空間包含允許在資料流和檔案上進行同步和非同步讀寫的類。

在整個應用程式的開始部分我們需要瞭解一下伺服器的系統資訊，這就需要用到System.Environment類，該類提供有關當前環境和平台的資訊以及操作它們的方法。我們通過System.Environment類可以得到系統的目前的目錄和系統目錄，這可以使我們更快的發現幾個關鍵的目錄；我們還可以通過擷取運行當前進程的使用者名稱來協助我們瞭解ASP.NET程式運行所使用的使用者，進一步設定使用者權限以避免這一安全問題。

我們還要使用System.IO名稱空間的其他幾個類是：

System.IO.Directory：提供用於建立、移動和枚舉通過目錄和子目錄的靜態方法的類

System.IO.File：提供用於建立、複製、刪除、移動和開啟檔案的靜態方法的類

System.IO.FileInfo：提供建立、複製、刪除、移動和開啟檔案的執行個體方法的類

System.IO.StreamReader：實現一個 TextReader，使其以一種特定的編碼從位元組流中讀取字元。

每個我們所使用的類的屬性和方法的具體用法我們將以代碼注釋的方式在程式中加以說明。

System.IO名稱空間在 .NET FRAMEWORK提供的mscorlib.dll中，在使用VS.Net編程之前需要將此Dll引用到此項目中。

我們所編寫的程式都使用了Codebehind方式，即每一個aspx程式都有一個對應的aspx.cs程式，aspx程式中只是寫與頁面顯示相關的代碼，所有邏輯實現的代碼都放在相應的aspx.cs檔案中，這樣就可以更好得做到顯示與邏輯的分離。由於我們的目的不是討論Codebehind技術，所以就不在對此多加討論了。

在這篇文章裡，我們只介紹幾個主要的類及其關鍵方法的用法，詳細程式請查看附帶的原始碼。

程式一：顯示伺服器的當前資訊和全部邏輯磁碟機的名稱的程式listdrivers.aspx

主要方法1：我們使用 GetSysInf() 方法來得到伺服器的當前環境和平台的資訊

//擷取系統資訊的方法，此方法在listdrivers.aspx.cs檔案中
public void GetSysInf () {
//擷取作業系統類型
qDrives = Environment.OSVersion.ToString();
//擷取系統檔案夾
qSystemDir = Environment.SystemDirectory.ToString();
/*擷取映射到進程內容相關的實體記憶體量，通過這一記憶體映射量可以瞭解ASP.NET程式在運行時需要多少系統實體記憶體，有助於更好的規劃我們的整個應用,因為實體記憶體量是以Byte為單位的，所以我們將此數值除以1024，可以得到單位為KB的實體記憶體量*/
qMo = (Environment.WorkingSet/1024).ToString();
//擷取目前的目錄（即該進程從中啟動的目錄）的完全限定路徑
qCurDir = Environment.CurrentDirectory.ToString();
//擷取主機的網路網域名稱
qDomName = Environment.UserDomainName.ToString();
//擷取系統啟動後經過的毫秒數
qTick = Environment.TickCount;
//計算得到系統啟動後經過的分鐘數
qTick /= 60000;
//擷取機器名
qMachine = Environment.MachineName;
//擷取運行當前進程的使用者名稱
qUser = Environment.UserName;
/*檢索此電腦上格式為"＜磁碟機代號＞:\"的邏輯磁碟機的名稱，返回字串數組，這是下一步操作的關鍵所在*/
achDrives = Directory.GetLogicalDrives();
//擷取此字串數組的維數，確定有多少個邏輯磁碟機
nNumOfDrives = achDrives.Length;
}

系統資訊不需要進行操作，我們簡單的用asp:Label將他們顯示出來就行了。邏輯磁碟機的個數在不同的伺服器上是不定的，所以用不定長數組儲存邏輯磁碟機的名稱，而且邏輯磁碟機的名稱也是我們下一步瀏覽目錄和檔案的基礎，故我們採用了資料格DataGrid來顯示和處理它。

顯示和處理邏輯磁碟機名稱的DataGrid的代碼（代碼在listdrivers.aspx檔案）：

＜asp:DataGrid id="DriversGrid" runat="server" AutoGenerateColumns="false"＞
＜Columns＞
＜asp:BoundColumn HeaderText="ID" DataField="ID" /＞
＜asp:BoundColumn HeaderText="磁碟名" DataField="Drivers" /＞
＜asp:HyperLinkColumn
HeaderText="詳細資料"
DataNavigateUrlField="Drivers" DataNavigateUrlFormatString="listdir.aspx?dir={0}"
DataTextField="Detail"
Target="_new" /＞
＜/Columns＞
＜/asp:DataGrid＞

前兩個BoundColumn列都是顯示序號和實際邏輯磁碟機名稱的，需要說明的是第三列，我們在進入各個邏輯磁碟機顯示目錄和檔案之前需要將所選擇的邏輯磁碟機的名稱傳遞到顯示目錄的檔案去，所以需要一個特殊的超級連結行HyperLinkColumn,我們將DataNavigateUrlField設定為資料來源中要綁定到 HyperLinkColumn 中的超級連結的 URL 的欄位，在此即邏輯磁碟機名稱。然後將DataNavigateUrlFormatString設定為當 URL 資料繫結到資料來源中的欄位時，此HyperLinkColumn中的超級連結的 URL 的顯示格式，即要連結到的下一級處理頁面，在此為listdir.aspx?dir={使用者點擊行的邏輯磁碟機名稱}

建立資料來源的代碼(代碼在listdrivers.aspx.cs檔案中)：

//通過此方法返回一個集合形式的資料檢視DataView
ICollection CreateDataSource() {
//定義記憶體中的資料表DataTable
DataTable dt = new DataTable();
//定義DataTable中的一行資料DataRow
DataRow dr;
/*向DataTable中增加一個列，格式：DataColumn("Column", type)
Column為資料列的名字，type為資料列的資料類型*/
dt.Columns.Add(new DataColumn("ID", typeof(Int32)));
dt.Columns.Add(new DataColumn("drivers", typeof(string)));
dt.Columns.Add(new DataColumn("detail", typeof(string)));
//使用for迴圈將邏輯磁碟機的名稱以行的形式添加到資料表DataTable中
for (int i = 0; i ＜ nNumOfDrives; i++) {
//定義新行
dr = dt.NewRow();
//對行中每列進行賦值，注意要與上邊定義的DataTable的行相對應
dr[0] = i; //迴圈產生的序號
dr[1] = achDrives[i].ToString(); //邏輯磁碟機的名稱
dr[2] = "查看詳情";
//向DataTable中添加行
dt.Rows.Add(dr);
}
//根據得到的DataTable產生自訂視圖DataView
DataView dv = new DataView(dt);
//返回得到的視圖DataView
return dv;
}

我們通過這個方法得到了一個包含所有我們需要的資料的資料檢視DataView，我們只需要在此aspx頁的Page_Load方法中將此資料檢視綁定到DataGrid上就可以了。

資料繫結代碼（代碼在listdrivers.aspx.cs檔案中）：

/* 設定DataGrid的資料來源DataSource為我們從CreateDataSource()方法得到的資料檢視DataView */
DriversGrid.DataSource = CreateDataSource();
//將此DataGrid進行資料繫結
DriversGrid.DataBind();

通過上邊介紹的幾種主要方法我們就實現了擷取系統資訊和顯示所有邏輯磁碟機名稱的功能，並且可以通過相應的連結進入下一個顯示目錄和檔案名稱的程式listdir.aspx顯示該邏輯磁碟機下的所有目錄和檔案。

程式二：顯示目錄中所有子目錄和檔案的程式listdir.aspx

目錄下有子目錄和檔案兩種形式，必須分別對待。我們調用此程式本身對子目錄進行列表顯示，而檔案我們需要調用showfile.aspx程式對檔案的屬性和內容進行顯示。並且兩者還有不同的刪除方法，所以我們在這裡設定了兩個DataGrid，兩個DataTable，兩個DataView，分別處理和顯示目錄和檔案。

顯示和處理目錄和檔案的DataGrid的代碼（代碼在listdir.aspx檔案）：

顯示目錄或檔案的序號和名稱的資料列類似於listdrivers.aspx程式中的相應代碼,這裡就不再重複了。對於子目錄和檔案分別有各自的處理頁面，所以需要導航到兩個不同的頁面，對於子目錄，我們繼續使用listdir.aspx程式對其下的子目錄和檔案進行列表顯示：

＜asp:HyperLinkColumn DataNavigateUrlField="DirName"
DataNavigateUrlFormatString="listdir.aspx?dir={0}"
DataTextField="DirDetail"
HeaderText="詳細資料"
Target="_new"
/＞
對於檔案，我們使用showfile.aspx程式顯示其屬性和內容：
＜asp:HyperLinkColumn DataNavigateUrlField="FileName"
DataNavigateUrlFormatString="showfile.aspx?file={0}"
DataTextField="FileDetail"
HeaderText="詳細資料"
Target="_new"
/＞

在兩個DataGrid（DirGrid，FileGrid）中我們分別設定了兩個HyperLinkColumn列來導航到不同的處理頁面。

在兩個DataGrid中我們都使用了一個刪除的按鈕列：

＜asp:ButtonColumn HeaderText="刪除"
Text="刪除"
CommandName="Delete"
/＞

由於添加、更新、刪除功能列都是DataGrid的預設範本列，所以可以在Vs.net中通過DataGrid的屬性產生器自動添加此列。

擷取上一頁面所傳遞來的參數的代碼：

因為在下面產生資料來源的方法中需要使用由上一個頁面傳遞過來的參數來確定目錄和檔案的名稱，所以在頁面的Page_Load方法裡使用了下列代碼：

strDir2List = Request.QueryString["dir"];

字串strDir2List即傳過來的目錄名或檔案名稱。

因為我們使用了兩個DateGrid，就需要進行兩次資料繫結,就有兩個不同的產生資料來源的方法。

組建目錄資料格（DirGrid）資料來源的方法：

//通過此方法返回一個集合形式的資料檢視DataView，用來初始化子目錄的DataGrid
ICollection CreateDataSourceDir() {
dtDir = new DataTable();
DataRow dr;
//向DataTable中添加新的資料列，共四列
dtDir.Columns.Add(new DataColumn("DirID", typeof(Int32)));
dtDir.Columns.Add(new DataColumn("DirName", typeof(string)));
dtDir.Columns.Add(new DataColumn("DelDir", typeof(string)));
dtDir.Columns.Add(new DataColumn("DirDetail", typeof(string)));
//根據傳入的參數（目錄名）得到此目錄下所有子目錄名的字串數組
string [] DirEntries = Directory.GetDirectories(strDir2List);
//使用foreach迴圈可以對未知長度的數組進行遍曆迴圈
foreach(string DirName in DirEntries){
dr = dtDir.NewRow();
dr[0] = i;//序號
dr[1] = DirName;//檔案夾名稱
dr[3] = "刪除";
dr[3] = "查看詳情";
dtDir.Rows.Add(dr);
i++;
}
DataView dvDir = new DataView(dtDir);
//返回得到的資料檢視
return dvDir;
}
組建檔案資料格（FileGrid）資料來源的方法：
//通過此方法返回一個集合形式的資料檢視DataView，用來初始設定檔案的DataGrid
ICollection CreateDataSourceFile() {
dtFile = new DataTable();
DataRow dr;
dtFile.Columns.Add(new DataColumn("FileID", typeof(Int32)));
dtFile.Columns.Add(new DataColumn("FileName", typeof(string)));
dtFile.Columns.Add(new DataColumn("DelFile", typeof(string)));
dtFile.Columns.Add(new DataColumn("FileDetail", typeof(string)));
//根據傳入的參數（目錄名）得到此目錄下所有檔案名稱的字串數組
string [] FileEntries = Directory.GetFiles(strDir2List);
foreach(string FileName in FileEntries){
dr = dtFile.NewRow();
dr[0] = i;
dr[1] = FileName;
dr[2] = "刪除";
dr[3] = "查看詳情";
dtFile.Rows.Add(dr);
i++;
}
dvFile = new DataView(dtFile);
return dvFile;
}

我們編程實現了兩個DataSource只需在頁面的Page_Load方法裡對兩個DataGrid進行資料繫結即可將得到的DataTable中的資料顯示在aspx頁面的DataGrid上。

資料繫結代碼：

//對子目錄資料列表DirGrid進行資料來源定義和資料繫結
DirGrid.DataSource = CreateDataSourceDir();
DirGrid.DataBind();
//對檔案資料列表FileGrid進行資料來源定義和資料繫結
FileGrid.DataSource = CreateDataSourceFile();
FileGrid.DataBind();

通過我們上邊介紹的主要方法，我們實現了對某個邏輯磁碟機或目錄中的所有子目錄和檔案進行了列表顯示，並且可以根據顯示結果更進一步的瀏覽子目錄或者查看檔案的屬性和內容提要。瀏覽子目錄仍然是通過listdir.aspx這個程式，沒有任何子目錄層級要求，沒有目錄深度限制。

刪除子目錄和檔案的主要方法和代碼：

在刪除子目錄時，我們需要用到Directory.Delete (string,bool)方法，此方法有兩種：

1．public static void Delete(string);

從指定路徑刪除空目錄。

2．public static void Delete(string, boolean);

刪除指定的目錄並（如果指示）刪除該目錄中的任何子目錄，將boolean設定為true的話，則刪除此目錄下的所有子目錄和檔案，否則將boolean設定為false。

在這裡我們使用了第二種方法，如果選擇刪除的話，將刪除此目錄下的所有子目錄和檔案。

注意：Directory 類的所有方法都是靜態，因而無需具有目錄Directory的執行個體就可被調用。

/*實現刪除子目錄的方法，此方法為VS.NET自動添加，注意DataGridCommandEventArgs e為DirGrid中 CommandName="Delete" 的ButtonColumn的事件，通過此事件，我們可以得到是那一行的ButtonColumn按鈕列被點擊，進而確定我們需要刪除的子目錄的名稱*/
private void DirGrid_DeleteCommand(object source, System.Web.UI.WebControls.DataGridCommandEventArgs e){
/*定義一個儲存格，e.Item為此事件所發生行的所有項目，e.Item.Cells[1]為整個行的第二個儲存格的內容,在此DataGrid中為子目錄的名稱
*/
TableCell ItemCell = e.Item.Cells[1];
//得到此子目錄的名稱的字串
string item = ItemCell.Text;
//刪除此子目錄
Directory.Delete(item,true);
//刪除後進行資料繫結以更新資料列表
DirGrid.DataBind();
}

在刪除檔案時，我們需要用到File.Delete(string path);

注意：File 類的所有方法都是靜態，因而無需具有目錄的執行個體就可被調用。

private void FileGrid_DeleteCommand(object source,
System.Web.UI.WebControls.DataGridCommandEventArgs e) {
TableCell ItemCell = e.Item.Cells[1];
//得到此檔案名稱的字串
string item = ItemCell.Text;
//刪除此檔案
File.Delete(item);
//刪除後進行資料繫結以更新資料列表
DirGrid.DataBind();
}

通過上邊的主要方法我們在頁面上實現了一個刪除某一個子目錄或者檔案的功能，此功能在測試時需要謹慎使用，一旦刪除無法通過常規方法恢複。其他如目錄或檔案改名、修改內容等方法都可以在此程式基礎上添加相應的功能，實現方法也很簡單。各位愛好者可以通過添加相應功能，使之擴充為一個基於Web的伺服器檔案管理系統。我們也可以由此看到這個程式的危害性，一個沒有對此安全隱患採取防範措施的伺服器的檔案系統就都暴露在了使用此程式的使用者面前。

程式三：顯示檔案屬性和內容的程式showfile.aspx

在顯示內容和內容時需要用到的兩個主要的類：

System.IO.FileInfo：提供建立、複製、刪除、移動和開啟檔案的執行個體方法，並且協助建立 FileStream 對象。

System.IO.StreamReader：實現一個 TextReader，使其以一種特定的編碼從位元組流中讀取字元。除非另外指定，StreamReader的預設編碼為 UTF-8，而不是當前系統的 ANSI 字碼頁。UTF-8 可以正確處理 Unicode 字元並在作業系統的語言版本上提供一致的結果。

Showfile.aspx頁面主要代碼：

＜asp:Label id="FileDetail" runat="server"/＞

我們只是將檔案的屬性資訊和部分內容顯示在此Label上。所以沒有其他複雜的代碼。

擷取檔案資訊和內容的主要代碼都在Page_Load方法中（代碼在showfile.aspx.cs檔案中）：

//接收傳入的參數，確定需要操作的檔案名稱
strFile2Show = Request.QueryString["file"];
//根據檔案名稱執行個體化一個FileInfo對象
FileInfo fi = new FileInfo(strFile2Show);
FileDetail.Text = "檔案名稱：";
FileDetail.Text += strFile2Show+"＜br＞";
FileDetail.Text += "檔案大小";
//獲得檔案的大小，然後變換單位為KB
FileDetail.Text += (fi.Length/1024).ToString()+"K＜br＞";
FileDetail.Text += "建立檔案時間：";
//獲得檔案的建立日期
FileDetail.Text += fi.CreationTime.ToString();
FileDetail.Text += "上次訪問時間：";
//獲得檔案的上次訪問日期
FileDetail.Text += fi.LastAccessTime.ToString()+"＜br＞";
FileDetail.Text += "上次寫入時間：";
//獲得檔案的上次寫入日期
FileDetail.Text += fi.LastWriteTime.ToString()+"＜br＞";
//執行個體化一個StreamReader對象，用於讀取此FileInfo的內容
StreamReader FileReader = fi.OpenText();
//定義一個長度為1000的字元數組作為緩衝區
char[] theBuffer = new char[1000];
/*ReadBlock方法：從當前流中讀取最大數量的字元並從索引開始將該資料寫入緩衝區。
參數：
char[] buffer：方法返回時，包含指定的字元數組
int index：buffer 中開始寫入的位置
int count：最多讀取的字元數
*/
int nRead = FileReader.ReadBlock(theBuffer,0,1000);
FileDetail.Text += new String(theBuffer,0,nRead);
//關閉此 StreamReader 並釋放與之關聯的所有系統資源
FileReader.Close();

到目前為止，我們實現了一個簡單的web頁面的伺服器磁碟管理應用程式，可以查看、刪除目錄和檔案。如果需要修改檔案、建立檔案和檔案夾等功能，只需稍作修改，添加上相應的代碼就可以。由於我們只是通過這個程式說明伺服器中存在的安全隱患，所以在這裡就不再實現這些功能了。

通過這三個簡單的程式，我想大家已經能夠清楚的認識到這一漏洞的危害性了，如果我們不加防範的話，其他使用者的程式就能被惡意使用此功能的使用者查看、刪除，伺服器的系統日誌、系統檔案也沒有任何安全可言了。