|
●其它錯(cuò)誤
此外�����,還有一些其它難以歸類的錯(cuò)誤��,如“非1即0”導(dǎo)致繞過認(rèn)證的問題���。
9.2.3常用的的CGI漏洞檢測工具
1.Twwwscan
這個(gè)工具速度比較快,而且可以利用參數(shù)把windows系統(tǒng)和unix系統(tǒng)分開掃描����,不使用圖形界面����,比較簡單些����;
2.Cis
是個(gè)圖形化的小巧掃描工具,主要是針對windows系統(tǒng)設(shè)計(jì)�����,對檢查出來的CGI問題有比較詳細(xì)的描述���,利于使用、分析和解決漏洞�;
3.Voideye
圖形界面做的比較花哨,可以檢查的CGI問題比較多些�����,但不太準(zhǔn)確��。
4.Webscan
檢查種類特多���,好象有300來?xiàng)l��,能提供HTML格式報(bào)告�����,集合了一些跟隨攻擊方式��,這些工具只是檢查一下服務(wù)器有沒有這個(gè)鏈接存在�,如果有,就會(huì)報(bào)出存在漏洞�����,這當(dāng)然會(huì)有很多誤報(bào)�����,工具是死的�,人是活的,熟練應(yīng)用這些輔助工具需要點(diǎn)時(shí)間熟悉一下就行了�����。
9.2.4如何讓你的CGI更安全
了解了CGI的安全問題����,我們也該知道怎么加強(qiáng)CGI的安全了吧�?下面簡單總結(jié)一下作為參考:
1�����、使用最新版本的Web服務(wù)器���,安裝最新的補(bǔ)丁程序����,正確配置服務(wù)器�;
2、按照幫助文件正確安裝CGI程序��,刪除不必要的安裝文件和臨時(shí)文件��;
3����、使用C編寫CGI程序時(shí)�����,使用安全的函數(shù)�����;
4、使用安全有效的驗(yàn)證用戶身份的方法��;
5����、驗(yàn)證用戶的來源,防止用戶短時(shí)間內(nèi)過多動(dòng)作���;
6�����、推薦過濾�;
7���、注意處理好意外情況����;
8���、實(shí)現(xiàn)功能時(shí)制定安全合理的策略����;
9、培養(yǎng)良好的編程習(xí)慣�����;
10����、科學(xué)嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度,避免“想當(dāng)然”的錯(cuò)誤����;
9.3 ASP的安全性
ASP(ActiveServerPage),一個(gè)重要的Web技術(shù)����。它的出現(xiàn)給互聯(lián)網(wǎng)帶來了新的活力,它以一種前所未有的方式處理瀏覽器與服務(wù)器的交互通過內(nèi)建對象�����、ADO支持��、WSH(可通過它管理NTDOMAIN)幾乎可以完成傳統(tǒng)應(yīng)用程序所能完成的一切工作�����!
ASP是一種類似HTML(HypertextMarkupLanguage超文本標(biāo)識語言)���、Script與CGI(CommonGAtewayInterface通用網(wǎng)關(guān)接口)的結(jié)合體���,但是其運(yùn)行效率卻比CGI更高、程序編制也比HTML更方便且更有靈活性��,程序安全及保密性也比Script好�����。如果您是第一次接觸互連網(wǎng)(Internet)����,那么您可能不很了解上述名詞,以下對各種名詞加以解釋并說明它們之間的區(qū)別�。
HTML(HypertextMarkupLanguage)是一種超文本標(biāo)識語言,文件通過這種格式可以在互連網(wǎng)上載送瀏覽��,用戶只要使用網(wǎng)頁瀏覽器工具就可以瀏覽這些文件��,目前比較常用的工具包括MicrosoftInternetExplorer���,NetscapeCommunicator等�,由于HTML文件都是由標(biāo)簽(tag)所組成,因此它比較適合制作靜態(tài)網(wǎng)頁�����,再者�,由于先天上的限制HTML是無法直接存取數(shù)據(jù)庫的,所以存取數(shù)據(jù)庫的工作大多是依靠CGI來處理���。ASP不但可以包含HTML標(biāo)簽����,也可以直接存取數(shù)據(jù)庫及使用無限擴(kuò)充的ActiveX控件��,因此在程序編制上要比HTML方便而且更富有靈活性���。
簡單講�����,ASP是位于服務(wù)器端的腳本運(yùn)行環(huán)境���,通過這種環(huán)境,用戶可以創(chuàng)建和運(yùn)行動(dòng)態(tài)的交互式Web服務(wù)器應(yīng)用程序�,如交互式的動(dòng)態(tài)網(wǎng)頁,包括使用HTML表單收集和處理信息����,上傳與下載等等,就像用戶在使用自己的CGI程序一樣�。但是他比CGI簡單。更重要的是��,ASP使用的ActiveX技術(shù)基于開放設(shè)計(jì)環(huán)境���,用戶可以自己定義和制作組件加入其中�,使自己的動(dòng)態(tài)網(wǎng)頁幾乎具有無限的擴(kuò)充能力��,這是傳統(tǒng)的CGI等程序所遠(yuǎn)遠(yuǎn)不及的地方�。使用ASP還有個(gè)好處,就在于ASP可利用ADO(ActiveDataObject�����,微軟的一種新的數(shù)據(jù)訪問模型�����,類似于DAO)方便地訪問數(shù)據(jù)庫,從而使得開發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能�����。
9.3.1ASP漏洞分析和解決方法
ASP的漏洞已經(jīng)算很少的了���,想要找到數(shù)據(jù)庫的實(shí)際位置也不簡單��,但這不表明黑客無孔可入����,也正是這個(gè)觀點(diǎn)��,一般的程序設(shè)計(jì)員常常忘記仔細(xì)的檢查是否有漏洞���,所以才有可能導(dǎo)致網(wǎng)站資料被竊取的事件發(fā)生���。
ASP里面含有一個(gè)安全漏洞,就是在/site/eg/source.asp這個(gè)隨軟件一起銷售的范例程序��,里面的內(nèi)容有教使用者如何在服務(wù)器的這個(gè)目錄下隨意寫入檔案���。解決這個(gè)漏洞的方法是建議刪除所有軟件提供的范例程序��。
1����、Code.asp文件會(huì)泄漏ASP代碼
舉個(gè)很簡單的例子����,在微軟提供的ASP1.0的例程里有一個(gè).asp文件,專門用來查看其它.asp文件的源代碼�,該文件為ASPSamp/Samples/code.asp。如果有人把這個(gè)程序上傳到服務(wù)器�����,而服務(wù)器端沒有任何防范措施的話�,他就可以很容易地查看他人的程序。例如:
code.aspsource=/directory/file.asp
不過這是個(gè)比較舊的漏洞了�����,相信現(xiàn)在很少會(huì)出現(xiàn)這種漏洞�。
下面這命令是比較新的:
http://someurl/iissamples/exair/howitworks/code.asp/lunwen/soushuo.asp=xxx.asp
最大的危害莫過于ASP文件可以被上述方式讀出;數(shù)據(jù)庫密碼以明文形式暴露在黑客眼前�����;
問題解決或建議:
對于IIS自帶的showASPcode的ASP程序文件,刪除該文件或者禁止訪問該目錄即可��。
2���、filesystemobject組件篡改下載FAT分區(qū)上的任何文件的漏洞
IIS3����、IIS4的ASP的文件操作都可以通過Filesystemobject實(shí)現(xiàn)�����,包括文本文件的讀寫目錄操作�、文件的拷貝改名刪除等,但是這個(gè)強(qiáng)大的功能也留下了非常危險(xiǎn)的“后門”����。利用Filesystemobjet可以篡改下載FAT分區(qū)上的任何文件。即使是NTFS分區(qū)��,如果權(quán)限沒有設(shè)定好的話�����,同樣也能破壞,一不小心你就可能遭受“滅頂之災(zāi)”��。遺憾的是很多Webmaster只知道讓W(xué)eb服務(wù)器運(yùn)行起來���,很少對NTFS進(jìn)行權(quán)限設(shè)置����,而NT目錄權(quán)限的默認(rèn)設(shè)置偏偏安全性又低得可怕��。因此�,如果你是Webmaster�����,建議你密切關(guān)注服務(wù)器的設(shè)置���,盡量將Web目錄建在NTFS分區(qū)上�����,目錄不要設(shè)定EveryoneFullControl��,即使是是管理員組的成員一般也沒什么必要FullControl�����,只要有讀取�、更改權(quán)限就足夠了。也可以把Filesystemobject的組件刪除或者改名����。
3、輸入標(biāo)準(zhǔn)的HTML語句或者javascript語句會(huì)改變輸出結(jié)果
在輸入框中輸入標(biāo)準(zhǔn)的HTML語句會(huì)得到什么相的結(jié)果呢�����?
比如一個(gè)留言本�,我們留言內(nèi)容中輸入:
<fontsize=10>你好!</font>
如果你的ASP程序中沒有屏蔽HTML語句���,那么就會(huì)改變“你好”字體的大小����。在留言本中改變字體大小和貼圖有時(shí)并不是什么壞事��,反而可以使留言本生動(dòng)����。但是如果在輸入框中寫個(gè)javascript的死循環(huán)�,比如:<aherf=”http://someurl“onMouseover=”while(1){window.close(’/’)}“>特大新聞</a>
那么其他查看該留言的客人只要移動(dòng)鼠標(biāo)到”特大新聞“���,上就會(huì)使用戶的瀏覽器因死循環(huán)而死掉�。
解決方法和建議:
編寫類似程序時(shí)應(yīng)該做好對此類操作的防范�,譬如可以寫一段程序判斷客戶端的輸入,并屏蔽掉所有的HTML�����、JavaScrip���。
4、AccessMDB數(shù)據(jù)庫有可能被下載的漏洞
問題描述:
在用Access做后臺數(shù)據(jù)庫時(shí)�,如果有人通過各種方法知道或者猜到了服務(wù)器的Access數(shù)據(jù)庫的路徑和數(shù)據(jù)庫名稱,那么他能夠下載這個(gè)Access數(shù)據(jù)庫文件�,這是非常危險(xiǎn)的。比如:如果你Access數(shù)據(jù)庫book.mdb放在虛擬目錄下的database目錄下���,那么有人在瀏覽器中輸入:
http://someurl/database/book.mdb
如果你的book.mdb數(shù)據(jù)庫沒有事先加密的話��,那book.mdb中所有重要的數(shù)據(jù)都掌握在別人的手中�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
