ASP程式安全篇

來源:互聯網
上載者:User
安全|程式 在做安全配置前,我們先瞭解一下入侵者的攻擊手法。現在很流行注入攻擊,所謂注入攻擊,就是利用提交特殊地址將ASP中引用的正常SQL語句和入侵者所需要的SQL語句一併執行,使入侵者達到入侵的目的。現在更是有一些指令碼注入工具發布,使菜鳥也可以輕鬆完成對ASP的注入攻擊。那麼我們先來瞭解一下這些工具是怎樣注入的。
首先,入侵者會對一個網站確定可不可以進行注入,假設一篇文章的地址為:http://www.scccn.com/news.asp?id=1一般會以提交兩個地址來測試,如:
http://www.scccn.com/news.asp?id=1 and 1=1
http://www.scccn.com/news.asp?id=1 and 1=2
第一個地址後面加了 and 1=1,構成的SQL語句也就變為了:Select * from 表單名 where id=1 and 1=1這句話要成立就必須and前後語句都成立。那麼前面的文章地址是可以訪問的,後面的1=1也是客觀成立的,那麼第一個地址就可以正常顯示;相反1=2是顯然不成立的,關鍵就看這步了,如果提交and 1=2頁面還是正常顯示說明他並沒有將and 1=2寫入SQL語句,此站也就不存在注入漏洞;但如果提交and 1=2之後返回了錯誤頁面則說明此網站將後面的語句帶入了SQL語句並執行了,也就說明他可以進行SQL注入。(註:如果地址後面跟的是news.asp?id='1'就得變為news.asp?id=1' and '1'='1來補全引號了)
那麼,知道可以注入後入侵者可以做什麼呢?
這裡就簡單的說一下,比如提交這樣的地址:
http://www.scccn.com/news.asp?id=1 and exists (select * from 表名 where 列名=資料)
根據返回的正確或錯誤頁面來判斷猜的表名和列名是否正確,具體實現時是先猜表名再猜列名。當猜出表名和列名之後還可以用ASC和MID函數來猜出各列的資料。MID函數的格式為:mid(變數名,第幾個字元開始讀取,讀取幾個字元),比如:mid(pwd,1,2)就可以從變數pwd中的第一位開始讀取兩位的字元。ASC函數的格式為:ASC("字串"),如:asc("a")就可以讀出字母a的ASCII碼了。那麼實際應用的時候就可以寫為:asc(mid(pwd,1,1))這樣讀取的就是pwd列的第一個字元的ASCII碼,提交: asc(mid(pwd,1,1))>97以返回的頁面是否為正確頁面來判斷pwd列的第一個字元的ASCII碼是否大於97(a的ASCII碼),如果正確就再試是否小於122(z的ASCII碼)……這樣慢慢縮小字元的ASCII碼的範圍,猜到真實的ASCII碼也只是時間的問題。一位一位的猜就可以得到資料庫中的使用者名稱和密碼了。還有一種ASP驗證缺陷——就是使用者名稱和密碼都輸'or '1'='1,構造SQL語句Select * form 表單名 where username='' or '1'='1' and pwd='' or '1'='1'就可以達到繞過密碼驗證的目的。
說了那麼多,其實防範的方法很簡單,我們把特殊字元(如and、or、'、")都禁止提交就可以防止注入了。ASP傳輸資料分為get和post兩種, get是通過將資料添加到URL後提交的方式,post則是利用郵寄資訊資料欄位將資料傳送到伺服器。
那麼,我們先來看看如何將get方式提交資料中的特殊字元過濾。首先要知道,IIS是以字串的形式將get請求傳給asp.dll的,在將資料傳遞給Request.QueryString之後,asp解析器會解析出Request.QueryString的資訊,然後跟據"&"來分出各個數組內的資料。現在我們要讓get方式不能提交以下字元:
'、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare
那麼,防止get方式注入的代碼就如下:
<%
dim sql_leach,sql_leach_0,Sql_DATA
sql_leach = "',and,exec,insert,select,delete,update,count,*,%,chr,mid,master,truncate,char,declare"
sql_leach_0 = split(sql_leach,",")

If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0 Then
Response.Write "請不要嘗試進行SQL注入!"
Response.end
end if
next
Next
End If
%>
其中,變數sql_leach中的字串就是指定過濾的字元,以","隔開。
接著過濾post提交方式的注入,我們可以看到,request.form也是以數組形式存在的,只要對它再進行一次迴圈判斷就可以了。防止以post方式注入的ASP代碼如下:
<%
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0 Then
Response.Write "請不要嘗試進行SQL注入!"
Response.end
end if
next
next
end if
%>
這樣,get和post注入都被禁止了。
另外就是資料庫的問題,首先現在很流行的用*.asp命名資料庫已經沒什麼意義了,因為可以用下載軟體來下載;在資料庫名前加#的作用也不大,雖然訪問時瀏覽器只訪問#前面的內容,但是如果將#用其unicode表達法(%23)替換掉就可以訪問了。既然這樣,那麼我們禁止入侵者暴庫就可以了。一般暴資料庫的方法,是將讀取資料庫的檔案名稱(如conn.asp)前的"/"替換為"%5c"("\"的unicode表達法)這樣就可以使ASP將%5c解釋為訪問網站根目錄,而實際是資料庫不在指定位置,找不到資料庫,再將IE設定為"顯示友好的HTTP錯誤資訊"的情況下自然就暴出了資料庫的路徑。
防範的方法也比較簡單,就是讓ASP程式即使在出錯的情況下也不報錯直接執行下一步就可以了。在ASP檔案中加這麼一句:on error resume next就OK了。
還有幾點要注意的:
1.資料庫命名長些並盡量放在網站根目錄下,資料庫的表名和欄位名盡量不合常規;
2.儲存敏感資訊(如使用者和密碼)的資料庫盡量和在前台頁面引用的資料庫分開(如果用新的暴庫方法由前台頁面暴出了資料庫,那麼入侵者也得不到有價值的資訊);
3.背景目錄名和登陸頁面的名字要改的不尋常些,千萬不可出現admin或者login之類的字元,以免被注入軟體掃描到後台。
4.如果前台或後台有上傳檔案的功能,切記不能有任何其他功能直接的或間接的擁有變更檔名的許可權。
這樣的多重保障就更加安全些了。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。