ASP漏洞及安全建議


頁(yè)數(shù)：24 字?jǐn)?shù)：15889


一 前言　　　　　　　　　　
　　Microsoft Active Server Pages（ASP）是服務(wù)器端腳本編寫(xiě)環(huán)境，使用它可以創(chuàng)建和運(yùn)行動(dòng)態(tài)、交互的 Web 服務(wù)器應(yīng)用程序。使用 ASP 可以組合 HTML 頁(yè) 、腳本命令和 ActiveX 組件以創(chuàng)建交互的 Web 頁(yè)和基于 Web 的功能強(qiáng)大的應(yīng)用程序。
現(xiàn)在很多網(wǎng)站特別是電子商務(wù)方面的網(wǎng)站，在前臺(tái)上大都用ASP來(lái)實(shí)現(xiàn)。以至于現(xiàn)在ASP在網(wǎng)站應(yīng)用上很普遍。
ASP是開(kāi)發(fā)網(wǎng)站應(yīng)用的快速工具，但是有些網(wǎng)站管理員只看到ASP的快速開(kāi)發(fā)能力，卻忽視了ASP安全問(wèn)題。ASP從一開(kāi)始就一直受到眾多漏洞，后門的困擾，包括%81的噩夢(mèng)，密碼驗(yàn)證問(wèn)題，IIS漏洞等等都一直使ASP網(wǎng)站開(kāi)發(fā)人員心驚膽跳。
本文試圖從開(kāi)放了ASP服務(wù)的操作系統(tǒng)漏洞和ASP程序本身漏洞，闡述ASP安全問(wèn)題，并給出解決方法或者建議。

二 關(guān)鍵字
ASP，網(wǎng)絡(luò)安全，IIS，SSL，加密。
　　　　　　　　　　　　　　
三 ASP工作機(jī)理
　　 Active Server Page技術(shù)為應(yīng)用開(kāi)發(fā)商提供了基于腳本的直觀、快速、高效的應(yīng)用開(kāi)發(fā)手段，極大地提高了開(kāi)發(fā)的效果。在討論ASP的安全性問(wèn)題之前，讓我們來(lái)看看ASP是怎么工作的。ASP腳本是采用明文（plain text）方式來(lái)編寫(xiě)的。
　　ASP腳本是一系列按特定語(yǔ)法（目前支持vbscript和jscript兩種腳本語(yǔ)言）編寫(xiě)的，與標(biāo)準(zhǔn)HTML頁(yè)面混合在一起的腳本所構(gòu)成的文本格式的文件。當(dāng)客戶端的最終用戶用WEB瀏覽器通過(guò)INTERNET來(lái)訪問(wèn)基于ASP腳本的應(yīng)用時(shí)，WEB瀏覽器將向WEB服務(wù)器發(fā)出HTTP請(qǐng)求。WEB服務(wù)器分析、判斷出該請(qǐng)求是ASP腳本的應(yīng)用后，自動(dòng)通過(guò)ISAPI接口調(diào)用ASP腳本的解釋運(yùn)行引擎（ASP.DLL）。ASP.DLL將從文件系統(tǒng)或內(nèi)部緩沖區(qū)獲取指定的ASP腳本文件，接著就進(jìn)行語(yǔ)法分析并解釋執(zhí)行。最終的處理結(jié)果將形成HTML格式的內(nèi)容，通過(guò)WEB服務(wù)器“原路”返回給WEB瀏覽器，由WEB瀏覽器在客戶端形成最終的結(jié)果呈現(xiàn)。這樣就完成了一次完整的ASP腳本調(diào)用。若干個(gè)有機(jī)的ASP腳本調(diào)用就組成了一個(gè)完整的ASP腳本應(yīng)用。
　　讓我們來(lái)看看運(yùn)行ASP所需的環(huán)境：
　　Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
　　Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000
Microsoft Personal Web Server on Windows 95/98
WINDOWS NT Option Pack所帶的Microsoft IIS提供了強(qiáng)大的功能，但是IIS在網(wǎng)絡(luò)安全方面卻是比較危險(xiǎn)的。因?yàn)楹苌儆腥藭?huì)用Windows 95/98當(dāng)服務(wù)器，因此本文我更多的從NT中的IIS安全問(wèn)題來(lái)探討。
　
四 微軟自稱的ASP的安全優(yōu)點(diǎn)
　 雖然我們本文的重點(diǎn)是探討ASP漏洞和后門，但是有必要談?wù)凙SP在網(wǎng)絡(luò)安全方面的“優(yōu)點(diǎn)”，之所以加個(gè)“”，是因?yàn)橛袝r(shí)這些微軟宣稱的“優(yōu)點(diǎn)”恰恰是其安全隱犯。
微軟稱ASP在網(wǎng)絡(luò)安全方面一大優(yōu)點(diǎn)就是用戶不能看到ASP的源程序，
從ASP的原理上看，ASP在服務(wù)端執(zhí)行并解釋成標(biāo)準(zhǔn)的HTML語(yǔ)句，再傳送給客戶端瀏覽器?！捌帘巍痹闯绦蚰芎芎玫木S護(hù)ASP開(kāi)發(fā)人員的版權(quán)，試想你辛辛苦苦做了一個(gè)很優(yōu)秀的程序，給人任意COPY，你會(huì)怎么想？而且黑客還能分析你的ASP程序，挑出漏洞。更重要的是有些ASP開(kāi)發(fā)者喜歡把密碼，有特權(quán)的用戶名和路徑直接寫(xiě)在程序中，這樣別人通過(guò)猜密碼，猜路徑，很容易找到攻擊系統(tǒng)的“入口”。但是目前已經(jīng)發(fā)現(xiàn)了很多能查看ASP源程序的漏洞，后面我們還要討論。
IIS支持虛擬目錄，通過(guò)在“服務(wù)器屬性”對(duì)話框中的“目錄”標(biāo)簽可以管理虛擬目錄。建立虛擬目錄對(duì)于管理WEB站點(diǎn)具有非常重要的意義。虛擬目錄隱藏了有關(guān)站點(diǎn)目錄結(jié)構(gòu)的重要信息。因?yàn)樵跒g覽器中，客戶通過(guò)選擇“查看源代碼”，很容易就能獲取頁(yè)面的文件路徑信息，如果在WEB頁(yè)中使用物理路徑，將暴露有關(guān)站點(diǎn)目錄的重要信息，這容易導(dǎo)致系統(tǒng)受到攻擊。其次，只要兩臺(tái)機(jī)器具有相同的虛擬目錄，你就可以在不對(duì)頁(yè)面代碼做任何改動(dòng)的情況下，將WEB頁(yè)面從一臺(tái)機(jī)器上移到另一臺(tái)機(jī)器。還有就是，當(dāng)你將WEB頁(yè)面放置于虛擬目錄下后，你可以對(duì)目錄設(shè)置不同的屬性，如：Read、Excute、Script。讀訪問(wèn)表示將目錄內(nèi)容從IIS傳遞到瀏覽器。而執(zhí)行訪問(wèn)則可以使在該目錄內(nèi)執(zhí)行可執(zhí)行的文件。當(dāng)你需要使用ASP時(shí)，就必須將你存放.asp文件的目錄設(shè)置為“Excute（執(zhí)行）”。建議大家在設(shè)置WEB站點(diǎn)時(shí)，將HTML文件同ASP文件分開(kāi)放置在不同的目錄下，然后將HTML子目錄設(shè)置為“讀”，將ASP子目錄設(shè)置為“執(zhí)行”，這不僅方便了對(duì)WEB的管理，而且最重要的提高了ASP程序的安全性，防止了程序內(nèi)容被客戶所訪問(wèn)。

五 ASP漏洞分析和解決方法
　有人說(shuō)一臺(tái)不和外面聯(lián)系的電腦是最安全的電腦，一個(gè)關(guān)閉所有端口，不提供任何服務(wù)的電腦也是最安全的。黑客經(jīng)常利用我們所開(kāi)放的端口實(shí)施攻擊，這些攻擊最常見(jiàn)的是DDOS（拒絕服務(wù)攻擊）.下面我會(huì)列出ASP的二十幾個(gè)漏洞，每個(gè)漏洞都會(huì)有漏洞描述和解決方法。

1 在ASP程序后加個(gè)特殊符號(hào)，能看到ASP源程序受影響的版本：
　　　win95+pws
　　　IIS3.0
　　　98+pws4 不存在這個(gè)漏洞。
　　　IIS4.0以上的版本也不存在這個(gè)漏洞。
　　問(wèn)題描述：
　　　這些特殊符號(hào)包括小數(shù)點(diǎn)，%81, ::$DATA。比如：
　　　http://someurl/somepage.asp.
　　　http:// someurl/somepage.asp%81
　　　http:// someurl/somepage.asp::$DATA
　　　http:// someurl/somepage.asp %2e
　　　http:// someurl/somepage %2e%41sp
　　　http:// someurl/somepage%2e%asp　　　
http:// someurl/somepage.asp %2e
http://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini　（可以看到boot.ini的文件內(nèi)容）
　　那么在安裝有IIS3.0和win95+PWS的瀏覽中就很容易看到somepage.asp的源程序。究竟是什么原因造成了這種可怕的漏洞呢？究其根源其實(shí)是 Windows NT 特有的文件系統(tǒng)在做怪。有一點(diǎn)常識(shí)的人都知道在 NT 提供了一種完全不同于 FAT 的文件系統(tǒng)：NTFS，這種被稱之為新技術(shù)文件系統(tǒng)的技術(shù)使得 NT 具有了較高的安全機(jī)制，但也正是因?yàn)樗a(chǎn)生了不少令人頭痛的隱患。大家可能不知道， NTFS 支持包含在一個(gè)文件中的多數(shù)據(jù)流，而這個(gè)包含了所有內(nèi)容的主數(shù)據(jù)流被稱之為“DATA”，因此使得在瀏覽器里直接訪問(wèn) NTFS 系統(tǒng)的這個(gè)特性而輕易的捕獲在文件中的腳本程序成為了可能。然而直接導(dǎo)致 ::$DATA 的原因是由于 IIS 在解析文件名的時(shí)候出了問(wèn)題，它沒(méi)有很好地規(guī)范文件名。

解決方法和建議：
如果是Winodws NT用戶，安裝IIS4.0或者IIS5.0，Windows2000不存在這個(gè)問(wèn)題。如果是win95用戶，安裝WIN98和PWS