MicrosoftActiveServerPages

1、 Microsoft Active Server Pages (ASP)是服務(wù)器端腳本編寫環(huán)境，使用它可以創(chuàng)建和運(yùn)行動(dòng)態(tài)、交互的Web服務(wù)器 應(yīng)用程序。使用ASP可以組合 HTML頁、腳本命令和 ActiveX組件以創(chuàng)建交互的 Web頁和基于 Web的功能 強(qiáng)大的應(yīng)用程序。 現(xiàn)在很多網(wǎng)站特別是電子商務(wù)方面的網(wǎng)站，在前臺(tái)上大都用ASP來實(shí)現(xiàn)。以至于現(xiàn)在 ASP在網(wǎng)站應(yīng)用上很普遍。 ASP是開發(fā)網(wǎng)站應(yīng)用的快速工具，但是有些網(wǎng)站管理員只看到ASP的快速開發(fā)能力，卻忽視了 ASP安全問題。ASP 從一開始就一直受到眾多漏洞，后門的困擾，包括%81的噩夢(mèng)，密碼驗(yàn)證問題，IIS漏洞等等都一直使 ASP網(wǎng)站

2、開 發(fā)人員心驚膽跳。 本文試圖從開放了 ASP服務(wù)的操作系統(tǒng)漏洞和ASP程序本身漏洞，闡述ASP安全問題，并給出解決方法或者建議。 ASP工作機(jī)理 Active Server Page技術(shù)為應(yīng)用開發(fā)商提供了基于腳本的直觀、快速、高效的應(yīng)用開發(fā)手段，極大地提高了開發(fā)的效 果。在討論ASP的安全性問題之前，讓我們來看看ASP是怎么工作的。ASP腳本是采用明文(plain text)方式來 編寫的。 ASP腳本是一系列按特定語法(目前支持vbscript和jscript兩種腳本語言)編寫的，與標(biāo)準(zhǔn) HTML頁面混合在一起 的腳本所構(gòu)成的文本格式的文件。當(dāng)客戶端的最終用戶用WEB瀏覽器通過INTERN

3、ET來訪問基于 ASP腳本的應(yīng) 用時(shí)，WEB瀏覽器將向 WEB服務(wù)器發(fā)出HTTP請(qǐng)求。WEB服務(wù)器分析、判斷出該請(qǐng)求是ASP腳本的應(yīng)用后，自 動(dòng)通過ISAPI接口調(diào)用 ASP腳本的解釋運(yùn)行引擎(ASP.DLL )。ASP.DLL將從文件系統(tǒng)或內(nèi)部緩沖區(qū)獲取指定的 ASP腳本文件，接著就進(jìn)行語法分析并解釋執(zhí)行。最終的處理結(jié)果將形成HTML格式的內(nèi)容，通過 WEB服務(wù)器” 原路返回給 WEB瀏覽器，由WEB瀏覽器在客戶端形成最終的結(jié)果呈現(xiàn)。這樣就完成了一次完整的ASP腳本調(diào)用。 若干個(gè)有機(jī)的ASP腳本調(diào)用就組成了一個(gè)完整的ASP腳本應(yīng)用。 讓我們來看看運(yùn)行ASP所需的環(huán)境： Microsoft I

4、n ternet In formation Server 3.0/4.0/5.0 on NT Server Microsoft In ternet In formation Server 3.0/4.0/5.0 on Win2000 Microsoft Perso nal Web Server on Win dows 95/98 WINDOWS NT Option Pack 所帶的Microsoft IIS 提供了強(qiáng)大的功能，但是IIS在網(wǎng)絡(luò)安全方面卻是比較危險(xiǎn)的。因 為很少有人會(huì)用 Windows 95/98當(dāng)服務(wù)器，因此本文我更多的從NT中的IIS安全問題來探討。 微軟自稱的ASP的安全優(yōu)

5、點(diǎn) 雖然我們本文的重點(diǎn)是探討 ASP漏洞和后門，但是有必要談?wù)?ASP在網(wǎng)絡(luò)安全方面的”優(yōu)點(diǎn)”，之所以加個(gè)，是因 為有時(shí)這些微軟宣稱的”優(yōu)點(diǎn)恰恰是其安全隱犯。微軟稱 ASP在網(wǎng)絡(luò)安全方面一大優(yōu)點(diǎn)就是用戶不能看到 ASP的 源程序， 從ASP的原理上看，ASP在服務(wù)端執(zhí)行并解釋成標(biāo)準(zhǔn)的HTML語句，再傳送給客戶端瀏覽器。屏蔽源程序能很 好的維護(hù)ASP開發(fā)人員的版權(quán)，試想你辛辛苦苦做了一個(gè)很優(yōu)秀的程序，給人任意COPY，你會(huì)怎么想？而且黑客 還能分析你的 ASP程序，挑出漏洞。更重要的是有些ASP開發(fā)者喜歡把密碼，有特權(quán)的用戶名和路徑直接寫在程 序中，這樣別人通過猜密碼，猜路徑，很容易找到攻擊系統(tǒng)

6、的”入口 ”。但是目前已經(jīng)發(fā)現(xiàn)了很多能查看ASP源程序 的漏洞，后面我們還要討論。 IIS支持虛擬目錄，通過在”服務(wù)器屬性對(duì)話框中的目錄標(biāo)簽可以管理虛擬目錄。建立虛擬目錄對(duì)于管理WEB站 點(diǎn)具有非常重要的意義。虛擬目錄隱藏了有關(guān)站點(diǎn)目錄結(jié)構(gòu)的重要信息。因?yàn)樵跒g覽器中，客戶通過選擇查看源 這容易導(dǎo)致系統(tǒng)受到攻擊。其次，只要兩臺(tái)機(jī)器具有相同的虛擬目錄，你就可以在不對(duì)頁面代碼做任何改動(dòng)的情況 下，將 WEB頁面從一臺(tái)機(jī)器上移到另一臺(tái)機(jī)器。還有就是，當(dāng)你將 WEB頁面放置于虛擬目錄下后，你可以對(duì)目 錄設(shè)置不同的屬性，如：Read、Excute、Script。讀訪問表示將目錄內(nèi)容從 IIS傳遞到瀏覽器。

7、而執(zhí)行訪問則可以使 在該目錄內(nèi)執(zhí)行可執(zhí)行的文件。當(dāng)你需要使用ASP時(shí)，就必須將你存放.asp文件的目錄設(shè)置為Excute （執(zhí)行）” 建議大家在設(shè)置 WEB站點(diǎn)時(shí)，將HTML文件同ASP文件分開放置在不同的目錄下，然后將HTML子目錄設(shè)置為 讀”，將ASP子目錄設(shè)置為執(zhí)行”，這不僅方便了對(duì) WEB的管理，而且最重要的提高了ASP程序的安全性，防止 了程序內(nèi)容被客戶所訪問。 ASP漏洞分析和解決方法 有人說一臺(tái)不和外面聯(lián)系的電腦是最安全的電腦，一個(gè)關(guān)閉所有端口，不提供任何服務(wù)的電腦也是最安全的。黑客 經(jīng)常利用我們所開放的端口實(shí)施攻擊，這些攻擊最常見的是DDOS （拒絕服務(wù)攻擊）下面我會(huì)列出 AS

8、P的二十幾 個(gè)漏洞，每個(gè)漏洞都會(huì)有漏洞描述和解決方法。 1在ASP程序后加個(gè)特殊符號(hào)，能看到ASP源程序 受影響的版本： win 95+pws IIS3.0 98+pws4不存在這個(gè)漏洞。 IIS4.0以上的版本也不存在這個(gè)漏洞。 問題描述： 這些特殊符號(hào)包括小數(shù)點(diǎn)，81, :$DA TA。比如： http:/someurl/somepage.asp. http:/ someurl/somepage.asp%81 http:/ someurl/somepage.asp:$DA TA http:/ someurl/somepage.asp %2e http:/ someurl/somepage

9、%2e%41sp http:/ someurl/somepage%2e%asp http:/ someurl/somepage.asp %2e http:/someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/././././././boot.ini （可以看到 boot.ini 的文 件內(nèi)容） 那么在安裝有IIS3.0和win95+PWS的瀏覽中就很容易看到somepage.asp的源程序。究竟是什么原因造成了這種可 怕的漏洞呢？究其根源其實(shí)是Windows NT特有的文件系統(tǒng)在做怪。有一點(diǎn)常識(shí)的人都知道在NT提供

10、了一種完 全不同于FAT的文件系統(tǒng)：NTFS，這種被稱之為新技術(shù)文件系統(tǒng)的技術(shù)使得NT具有了較高的安全機(jī)制，但也 正是因?yàn)樗a(chǎn)生了不少令人頭痛的隱患。大家可能不知道，NTFS支持包含在一個(gè)文件中的多數(shù)據(jù)流，而這個(gè) 包含了所有內(nèi)容的主數(shù)據(jù)流被稱之為DATA，因此使得在瀏覽器里直接訪問NTFS系統(tǒng)的這個(gè)特性而輕易的捕 獲在文件中的腳本程序成為了可能。然而 直接導(dǎo)致:$DATA的原因是由于IIS在解析文件名的時(shí)候出了問題，它 沒有很好地規(guī)范文件名。 解決方法和建議: 如果是 Winodws NT用戶，安裝IIS4.0或者IIS5.0, Windows2000不存在這個(gè)問題。如果是 win95用戶，

11、安裝 WIN98 和 PWS4.0。 2 ACCESS mdb數(shù)據(jù)庫有可能被下載的漏洞 問題描述： 在用ACCESS做后臺(tái)數(shù)據(jù)庫時(shí)，如果有人通過各種方法知道或者猜到了服務(wù)器的ACCESS數(shù)據(jù)庫的路徑和數(shù)據(jù)庫 名稱，那么他能夠下載這個(gè)ACCESS數(shù)據(jù)庫文件，這是非常危險(xiǎn)的。比如：如果你的ACCESS數(shù)據(jù)庫book.mdb放 在虛擬目錄下的database目錄下，那么有人在瀏覽器中打入： http:/ someurl/database/book.mdb 如果你的book.mdb數(shù)據(jù)庫沒有事先加密的話，那book.mdb中所有重要的數(shù)據(jù)都掌握在別人的手中。 解決方法： 為你的數(shù)據(jù)庫文件名稱起個(gè)復(fù)雜的

12、非常規(guī)的名字，并把他放在幾目錄下。所謂非常規(guī)”，打個(gè)比方：比如有個(gè) 數(shù)據(jù)庫要保存的是有關(guān)書籍的信息，可不要把他起個(gè)book.mdb的名字，起個(gè)怪怪的名稱，比如d34ksfslf.mdb，再 把他放在如./kdslf/i44/studi/的幾層目錄下，這樣黑客要想通過猜的方式得到你的ACCESS數(shù)據(jù)庫文件就難上加難 了。 (2) 不要把數(shù)據(jù)庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如： DBPath = Server.M apPath(cmddb.mdb) conn. Open driver=Microsoft Access Driver (*.mdb);dbq= Pwd=yfdsfs p

13、aram=para mdbq= How many loved your mome nts of glad grace, And loved your beauty with love false or true, But one man loved the pilgrim soul in you. And loved the sorrows of your cha nging face; And bending dow n beside the glow ing bars, Murmur, a little sadly, how love fled And paced upon the mou

14、ntains overhead And hid his face amid a crowd of stars. The furthest dista nee in the world Is not betwee n life and death But whe n I sta nd in front of you Yet you dont know that I love you. The furthest dista nee in the world Is not whe n I sta nd in front of you Yet you cant see my love But whe

15、n un doubtedly knowing the love from both Yet cannot be together. The furthest dista nee in the world Is not being apart while being in love But whe n I pla inly cannot resist the year ning Yet prete nding you have n ever bee n in my heart. The furthest dista nee in the world Is not struggli ng aga

16、inst the tides But using on es in differe nt heart To dig an un crossable river For the one who loves you. 倚窗遠(yuǎn)眺，目光目光盡處必有一座山，那影影綽綽的黛綠色的影，是春天的顏色。周遭流嵐升騰， 沒露出那真實(shí)的面孔。面對(duì)那流轉(zhuǎn)的薄霧，我會(huì)幻想，那里有一個(gè)世外桃源。在天階夜色涼如水的夏 夜，我會(huì)靜靜地，靜靜地，等待一場流星雨的來臨 許下一個(gè)愿望，不乞求去實(shí)現(xiàn)，至少，曾經(jīng)，有那么一刻，我那還未枯萎的，青春的，詩意的心， 在我最美的年華里，同星空做了一次靈魂的交流 秋日里，陽光并不刺眼，天空是一碧如洗的藍(lán)，點(diǎn)綴著飄逸的流云。偶爾，一片飛舞的落葉，會(huì) 飄到我的窗前。斑駁的印跡里，攜刻著深秋的顏色。在一個(gè)落雪的晨，這紛紛揚(yáng)揚(yáng)的雪，飄落著一如 千年前的潔白。窗外，是未被污染的銀白色世界。我會(huì)去迎接，這人間的圣潔。在這流轉(zhuǎn)的歲月里， 有著流轉(zhuǎn)的四季，還有一顆流轉(zhuǎn)的心，亙古不變的心。 倚窗遠(yuǎn)眺，目光目光盡處必有一座山，那影影綽綽的黛綠色的影，是春天的顏色。周遭流嵐升騰， 沒露出那真實(shí)的面孔。面對(duì)那流轉(zhuǎn)的薄霧，我會(huì)幻想，那里有一個(gè)