ASP漏洞分析和解決方案(8)

來源:互聯網
上載者:User
解決 19、ASP首頁.inc檔案泄露問題

  漏洞描述:
  受影響的版本:任何提供ASP服務的系統
  遠程:YES / 本地:YES

  內容摘要:
  當存在asp的首頁正在製作並沒有進行最後調試完成以前,可以被某些搜尋引擎機動追加為搜尋對象,如果這時候有人利用搜尋
引擎對這些網頁進行尋找,會得到有關檔案的定位,並能在瀏覽器中察看到資料庫地點和結構的細節揭示完整的原始碼。
  具體操作過程是:
- 利用搜尋引擎尋找包含+"Microsoft VBScript 運行時刻錯誤執行搜尋" +".inc ," 的關鍵字
- 搜尋引擎會自動尋找包含asp的包含檔案(.inc)並顯示給使用者
- 利用瀏覽器觀看包含檔案的原始碼,其中可能會有某些敏感資訊

  漏洞的利用:
例子:
- http://shopping.altavista.com/inc/lib/prep.lib
暴露資料庫連接和性質, 資源地點, 小甜餅邏輯,伺服器 IP 位址
- http://www.justshop.com/SFLib/ship.inc
暴露資料庫性質
- http://www.bbclub.com:8013/includes/general.inc
暴露 cobranding
- http://www.salest.com/corporate/admin/include/jobs.inc
暴露 datafile 地點和結構
- http://www.bjsbabes.com/SFLib/design.inc
包括資料庫結構為 StoreFront 2000 暴露原始碼
- http://www.ffg.com/scripts/IsSearchEngine.inc
暴露搜尋引擎記錄檔案
- http://www.wcastl.com/include/functions.inc
暴露成員電子郵件地址
- http://www.wcastl.com/flat/comments.txt
暴露成員私人的注釋檔案
- http://www.traveler.net/two/cookies.inc
暴露 cookie 邏輯

  解決方案:
  - 搜尋引擎應該不索引有 asp 運行時刻錯誤的頁
  - 程式員應該在網頁發布前對其進行徹底的調試
  - 安全專家需要固定 asp 包含檔案以便外部的使用者不能看他們
  asp 新聞群組、網站提供兩個解決方案對這個漏洞進行修正,首先對 .inc 檔案內容進行加密,其次也可以使用 .asp 檔案代
替 .inc 檔案使使用者無法從瀏覽器直接觀看檔案的原始碼。.inc 檔案的檔案名稱不用使用系統預設的或者有特殊含義容易被使用者猜
測到的,盡量使用無規則的英文字母。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。