|
●其它錯(cuò)誤
此外����,還有一些其它難以歸類的錯(cuò)誤,如“非1即0”導(dǎo)致繞過認(rèn)證的問題。
9.2.3常用的的CGI漏洞檢測工具
1.Twwwscan
這個(gè)工具速度比較快����,而且可以利用參數(shù)把windows系統(tǒng)和unix系統(tǒng)分開掃描,不使用圖形界面����,比較簡單些;
2.Cis
是個(gè)圖形化的小巧掃描工具����,主要是針對windows系統(tǒng)設(shè)計(jì),對檢查出來的CGI問題有比較詳細(xì)的描述����,利于使用、分析和解決漏洞����;
3.Voideye
圖形界面做的比較花哨,可以檢查的CGI問題比較多些����,但不太準(zhǔn)確。
4.Webscan
檢查種類特多����,好象有300來?xiàng)l����,能提供HTML格式報(bào)告����,集合了一些跟隨攻擊方式,這些工具只是檢查一下服務(wù)器有沒有這個(gè)鏈接存在����,如果有,就會(huì)報(bào)出存在漏洞����,這當(dāng)然會(huì)有很多誤報(bào)����,工具是死的,人是活的����,熟練應(yīng)用這些輔助工具需要點(diǎn)時(shí)間熟悉一下就行了。
9.2.4如何讓你的CGI更安全
了解了CGI的安全問題����,我們也該知道怎么加強(qiáng)CGI的安全了吧����?下面簡單總結(jié)一下作為參考:
1����、使用最新版本的Web服務(wù)器,安裝最新的補(bǔ)丁程序����,正確配置服務(wù)器;
2����、按照幫助文件正確安裝CGI程序,刪除不必要的安裝文件和臨時(shí)文件����;
3、使用C編寫CGI程序時(shí)����,使用安全的函數(shù);
4����、使用安全有效的驗(yàn)證用戶身份的方法����;
5����、驗(yàn)證用戶的來源,防止用戶短時(shí)間內(nèi)過多動(dòng)作����;
6、推薦過濾����;
7、注意處理好意外情況����;
8����、實(shí)現(xiàn)功能時(shí)制定安全合理的策略;
9����、培養(yǎng)良好的編程習(xí)慣����;
10����、科學(xué)嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度,避免“想當(dāng)然”的錯(cuò)誤����;
9.3 ASP的安全性
ASP(ActiveServerPage),一個(gè)重要的Web技術(shù)����。它的出現(xiàn)給互聯(lián)網(wǎng)帶來了新的活力,它以一種前所未有的方式處理瀏覽器與服務(wù)器的交互通過內(nèi)建對象����、ADO支持、WSH(可通過它管理NTDOMAIN)幾乎可以完成傳統(tǒng)應(yīng)用程序所能完成的一切工作����!
ASP是一種類似HTML(HypertextMarkupLanguage超文本標(biāo)識(shí)語言)、Script與CGI(CommonGAtewayInterface通用網(wǎng)關(guān)接口)的結(jié)合體����,但是其運(yùn)行效率卻比CGI更高����、程序編制也比HTML更方便且更有靈活性����,程序安全及保密性也比Script好。如果您是第一次接觸互連網(wǎng)(Internet)����,那么您可能不很了解上述名詞,以下對各種名詞加以解釋并說明它們之間的區(qū)別����。
HTML(HypertextMarkupLanguage)是一種超文本標(biāo)識(shí)語言,文件通過這種格式可以在互連網(wǎng)上載送瀏覽����,用戶只要使用網(wǎng)頁瀏覽器工具就可以瀏覽這些文件,目前比較常用的工具包括MicrosoftInternetExplorer����,NetscapeCommunicator等����,由于HTML文件都是由標(biāo)簽(tag)所組成����,因此它比較適合制作靜態(tài)網(wǎng)頁����,再者,由于先天上的限制HTML是無法直接存取數(shù)據(jù)庫的����,所以存取數(shù)據(jù)庫的工作大多是依靠CGI來處理。ASP不但可以包含HTML標(biāo)簽����,也可以直接存取數(shù)據(jù)庫及使用無限擴(kuò)充的ActiveX控件,因此在程序編制上要比HTML方便而且更富有靈活性����。
簡單講,ASP是位于服務(wù)器端的腳本運(yùn)行環(huán)境����,通過這種環(huán)境,用戶可以創(chuàng)建和運(yùn)行動(dòng)態(tài)的交互式Web服務(wù)器應(yīng)用程序����,如交互式的動(dòng)態(tài)網(wǎng)頁����,包括使用HTML表單收集和處理信息����,上傳與下載等等,就像用戶在使用自己的CGI程序一樣����。但是他比CGI簡單。更重要的是����,ASP使用的ActiveX技術(shù)基于開放設(shè)計(jì)環(huán)境,用戶可以自己定義和制作組件加入其中����,使自己的動(dòng)態(tài)網(wǎng)頁幾乎具有無限的擴(kuò)充能力,這是傳統(tǒng)的CGI等程序所遠(yuǎn)遠(yuǎn)不及的地方����。使用ASP還有個(gè)好處,就在于ASP可利用ADO(ActiveDataObject,微軟的一種新的數(shù)據(jù)訪問模型����,類似于DAO)方便地訪問數(shù)據(jù)庫����,從而使得開發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能。
9.3.1ASP漏洞分析和解決方法
ASP的漏洞已經(jīng)算很少的了����,想要找到數(shù)據(jù)庫的實(shí)際位置也不簡單,但這不表明黑客無孔可入����,也正是這個(gè)觀點(diǎn),一般的程序設(shè)計(jì)員常常忘記仔細(xì)的檢查是否有漏洞����,所以才有可能導(dǎo)致網(wǎng)站資料被竊取的事件發(fā)生。
ASP里面含有一個(gè)安全漏洞����,就是在/site/eg/source.asp這個(gè)隨軟件一起銷售的范例程序,里面的內(nèi)容有教使用者如何在服務(wù)器的這個(gè)目錄下隨意寫入檔案����。解決這個(gè)漏洞的方法是建議刪除所有軟件提供的范例程序����。
1����、Code.asp文件會(huì)泄漏ASP代碼
舉個(gè)很簡單的例子,在微軟提供的ASP1.0的例程里有一個(gè).asp文件����,專門用來查看其它.asp文件的源代碼,該文件為ASPSamp/Samples/code.asp����。如果有人把這個(gè)程序上傳到服務(wù)器����,而服務(wù)器端沒有任何防范措施的話����,他就可以很容易地查看他人的程序。例如:
code.aspsource=/directory/file.asp
不過這是個(gè)比較舊的漏洞了����,相信現(xiàn)在很少會(huì)出現(xiàn)這種漏洞����。
下面這命令是比較新的:
http://someurl/iissamples/exair/howitworks/code.asp/lunwen/soushuo.asp=xxx.asp
最大的危害莫過于ASP文件可以被上述方式讀出����;數(shù)據(jù)庫密碼以明文形式暴露在黑客眼前����;
問題解決或建議:
對于IIS自帶的showASPcode的ASP程序文件,刪除該文件或者禁止訪問該目錄即可����。
2、filesystemobject組件篡改下載FAT分區(qū)上的任何文件的漏洞
IIS3����、IIS4的ASP的文件操作都可以通過Filesystemobject實(shí)現(xiàn),包括文本文件的讀寫目錄操作����、文件的拷貝改名刪除等,但是這個(gè)強(qiáng)大的功能也留下了非常危險(xiǎn)的“后門”����。利用Filesystemobjet可以篡改下載FAT分區(qū)上的任何文件����。即使是NTFS分區(qū)����,如果權(quán)限沒有設(shè)定好的話,同樣也能破壞����,一不小心你就可能遭受“滅頂之災(zāi)”。遺憾的是很多Webmaster只知道讓W(xué)eb服務(wù)器運(yùn)行起來����,很少對NTFS進(jìn)行權(quán)限設(shè)置,而NT目錄權(quán)限的默認(rèn)設(shè)置偏偏安全性又低得可怕����。因此,如果你是Webmaster����,建議你密切關(guān)注服務(wù)器的設(shè)置,盡量將Web目錄建在NTFS分區(qū)上����,目錄不要設(shè)定EveryoneFullControl����,即使是是管理員組的成員一般也沒什么必要FullControl����,只要有讀取、更改權(quán)限就足夠了����。也可以把Filesystemobject的組件刪除或者改名����。
3、輸入標(biāo)準(zhǔn)的HTML語句或者javascript語句會(huì)改變輸出結(jié)果
在輸入框中輸入標(biāo)準(zhǔn)的HTML語句會(huì)得到什么相的結(jié)果呢����?
比如一個(gè)留言本,我們留言內(nèi)容中輸入:
<fontsize=10>你好����!</font>
如果你的ASP程序中沒有屏蔽HTML語句,那么就會(huì)改變“你好”字體的大小����。在留言本中改變字體大小和貼圖有時(shí)并不是什么壞事����,反而可以使留言本生動(dòng)����。但是如果在輸入框中寫個(gè)javascript的死循環(huán),比如:<aherf=”http://someurl“onMouseover=”while(1){window.close(’/’)}“>特大新聞</a>
那么其他查看該留言的客人只要移動(dòng)鼠標(biāo)到”特大新聞“����,上就會(huì)使用戶的瀏覽器因死循環(huán)而死掉。
解決方法和建議:
編寫類似程序時(shí)應(yīng)該做好對此類操作的防范����,譬如可以寫一段程序判斷客戶端的輸入,并屏蔽掉所有的HTML����、JavaScrip。
4����、AccessMDB數(shù)據(jù)庫有可能被下載的漏洞
問題描述:
在用Access做后臺(tái)數(shù)據(jù)庫時(shí),如果有人通過各種方法知道或者猜到了服務(wù)器的Access數(shù)據(jù)庫的路徑和數(shù)據(jù)庫名稱����,那么他能夠下載這個(gè)Access數(shù)據(jù)庫文件����,這是非常危險(xiǎn)的����。比如:如果你Access數(shù)據(jù)庫book.mdb放在虛擬目錄下的database目錄下,那么有人在瀏覽器中輸入:
http://someurl/database/book.mdb
如果你的book.mdb數(shù)據(jù)庫沒有事先加密的話����,那book.mdb中所有重要的數(shù)據(jù)都掌握在別人的手中。
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
