解決 19、ASP首頁.inc檔案泄露問題
漏洞描述:
受影響的版本:任何提供ASP服務的系統
遠程:YES / 本地:YES
內容摘要:
當存在asp的首頁正在製作並沒有進行最後調試完成以前,可以被某些搜尋引擎機動追加為搜尋對象,如果這時候有人利用搜尋
引擎對這些網頁進行尋找,會得到有關檔案的定位,並能在瀏覽器中察看到資料庫地點和結構的細節揭示完整的原始碼。
具體操作過程是:
- 利用搜尋引擎尋找包含+"Microsoft VBScript 運行時刻錯誤執行搜尋" +".inc ," 的關鍵字
- 搜尋引擎會自動尋找包含asp的包含檔案(.inc)並顯示給使用者
- 利用瀏覽器觀看包含檔案的原始碼,其中可能會有某些敏感資訊
漏洞的利用:
例子:
- http://shopping.altavista.com/inc/lib/prep.lib
暴露資料庫連接和性質, 資源地點, 小甜餅邏輯,伺服器 IP 位址
- http://www.justshop.com/SFLib/ship.inc
暴露資料庫性質
- http://www.bbclub.com:8013/includes/general.inc
暴露 cobranding
- http://www.salest.com/corporate/admin/include/jobs.inc
暴露 datafile 地點和結構
- http://www.bjsbabes.com/SFLib/design.inc
包括資料庫結構為 StoreFront 2000 暴露原始碼
- http://www.ffg.com/scripts/IsSearchEngine.inc
暴露搜尋引擎記錄檔案
- http://www.wcastl.com/include/functions.inc
暴露成員電子郵件地址
- http://www.wcastl.com/flat/comments.txt
暴露成員私人的注釋檔案
- http://www.traveler.net/two/cookies.inc
暴露 cookie 邏輯
解決方案:
- 搜尋引擎應該不索引有 asp 運行時刻錯誤的頁
- 程式員應該在網頁發布前對其進行徹底的調試
- 安全專家需要固定 asp 包含檔案以便外部的使用者不能看他們
asp 新聞群組、網站提供兩個解決方案對這個漏洞進行修正,首先對 .inc 檔案內容進行加密,其次也可以使用 .asp 檔案代
替 .inc 檔案使使用者無法從瀏覽器直接觀看檔案的原始碼。.inc 檔案的檔案名稱不用使用系統預設的或者有特殊含義容易被使用者猜
測到的,盡量使用無規則的英文字母。
