Posted on 2006-09-23 23:14
小傻 閱讀(601)
評(píng)論(0) 編輯 收藏 所屬分類(lèi):
asp
在做安全配置前,我們先了解一下入侵者的攻擊手法。現(xiàn)在很流行注入攻擊,所謂注入攻擊,就是利用提交特殊地址將ASP中引用的正常SQL語(yǔ)句和入侵者所需要的SQL語(yǔ)句一并執(zhí)行,使入侵者達(dá)到入侵的目的。現(xiàn)在更是有一些腳本注入工具發(fā)布,使菜鳥(niǎo)也可以輕松完成對(duì)ASP的注入攻擊。那么我們先來(lái)了解一下這些工具是怎樣注入的。
首先,入侵者會(huì)對(duì)一個(gè)網(wǎng)站確定可不可以進(jìn)行注入,假設(shè)一篇文章的地址為:http://www.scccn.com/news.asp?id=1一般會(huì)以提交兩個(gè)地址來(lái)測(cè)試,如:
http://www.scccn.com/news.asp?id=1?and?1=1
http://www.scccn.com/news.asp?id=1?and?1=2
第一個(gè)地址后面加了?and?1=1,構(gòu)成的SQL語(yǔ)句也就變?yōu)榱耍篠elect?*?from?表單名?where?id=1?and?1=1這句話要成立就必須and前后語(yǔ)句都成立。那么前面的文章地址是可以訪問(wèn)的,后面的1=1也是客觀成立的,那么第一個(gè)地址就可以正常顯示;相反1=2是顯然不成立的,關(guān)鍵就看這步了,如果提交and?1=2頁(yè)面還是正常顯示說(shuō)明他并沒(méi)有將and?1=2寫(xiě)入SQL語(yǔ)句,此站也就不存在注入漏洞;但如果提交and?1=2之后返回了錯(cuò)誤頁(yè)面則說(shuō)明此站點(diǎn)將后面的語(yǔ)句帶入了SQL語(yǔ)句并執(zhí)行了,也就說(shuō)明他可以進(jìn)行SQL注入。(注:如果地址后面跟的是news.asp?id='1'就得變?yōu)閚ews.asp?id=1'?and?'1'='1來(lái)補(bǔ)全引號(hào)了)
????那么,知道可以注入后入侵者可以做什么呢?
????這里就簡(jiǎn)單的說(shuō)一下,比如提交這樣的地址:
http://www.scccn.com/news.asp?id=1?and?exists?(select?*?from?表名?where?列名=數(shù)據(jù))
根據(jù)返回的正確或錯(cuò)誤頁(yè)面來(lái)判斷猜的表名和列名是否正確,具體實(shí)現(xiàn)時(shí)是先猜表名再猜列名。當(dāng)猜出表名和列名之后還可以用ASC和MID函數(shù)來(lái)猜出各列的數(shù)據(jù)。MID函數(shù)的格式為:mid(變量名,第幾個(gè)字符開(kāi)始讀取,讀取幾個(gè)字符),比如:mid(pwd,1,2)就可以從變量pwd中的第一位開(kāi)始讀取兩位的字符。ASC函數(shù)的格式為:ASC("字符串"),如:asc("a")就可以讀出字母a的ASCII碼了。那么實(shí)際應(yīng)用的時(shí)候就可以寫(xiě)為:asc(mid(pwd,1,1))這樣讀取的就是pwd列的第一個(gè)字符的ASCII碼,提交:?asc(mid(pwd,1,1))>97以返回的頁(yè)面是否為正確頁(yè)面來(lái)判斷pwd列的第一個(gè)字符的ASCII碼是否大于97(a的ASCII碼),如果正確就再試是否小于122(z的ASCII碼)……這樣慢慢縮小字符的ASCII碼的范圍,猜到真實(shí)的ASCII碼也只是時(shí)間的問(wèn)題。一位一位的猜就可以得到數(shù)據(jù)庫(kù)中的用戶(hù)名和密碼了。還有一種ASP驗(yàn)證缺陷——就是用戶(hù)名和密碼都輸'or?'1'='1,構(gòu)造SQL語(yǔ)句Select?*?form?表單名?where?username=''?or?'1'='1'?and?pwd=''?or?'1'='1'就可以達(dá)到繞過(guò)密碼驗(yàn)證的目的。
????說(shuō)了那么多,其實(shí)防范的方法很簡(jiǎn)單,我們把特殊字符(如and、or、'、")都禁止提交就可以防止注入了。ASP傳輸數(shù)據(jù)分為get和post兩種,????get是通過(guò)將數(shù)據(jù)添加到URL后提交的方式,post則是利用郵寄信息數(shù)據(jù)字段將數(shù)據(jù)傳送到服務(wù)器。
那么,我們先來(lái)看看如何將get方式提交數(shù)據(jù)中的特殊字符過(guò)濾。首先要知道,IIS是以字符串的形式將get請(qǐng)求傳給asp.dll的,在將數(shù)據(jù)傳遞給Request.QueryString之后,asp解析器會(huì)解析出Request.QueryString的信息,然后跟據(jù)"&"來(lái)分出各個(gè)數(shù)組內(nèi)的數(shù)據(jù)。現(xiàn)在我們要讓get方式不能提交以下字符:
'、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare
那么,防止get方式注入的代碼就如下:
<%
dim?sql_leach,sql_leach_0,Sql_DATA
sql_leach?=?"',and,exec,insert,select,delete,update,count,*,%,chr,mid,master,truncate,char,declare"
sql_leach_0?=?split(sql_leach,",")
If?Request.QueryString<>""?Then
For?Each?SQL_Get?In?Request.QueryString
For?SQL_Data=0?To?Ubound(sql_leach_0)
if?instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0?Then
Response.Write?"請(qǐng)不要嘗試進(jìn)行SQL注入!"
Response.end
end?if
next
Next
End?If
%>
其中,變量sql_leach中的字符串就是指定過(guò)濾的字符,以","隔開(kāi)。
????接著過(guò)濾post提交方式的注入,我們可以看到,request.form也是以數(shù)組形式存在的,只要對(duì)它再進(jìn)行一次循環(huán)判斷就可以了。防止以post方式注入的ASP代碼如下:
<%
If?Request.Form<>""?Then
For?Each?Sql_Post?In?Request.Form
For?SQL_Data=0?To?Ubound(sql_leach_0)
if?instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0?Then
Response.Write?"請(qǐng)不要嘗試進(jìn)行SQL注入!"
Response.end
end?if
next
next
end?if
%>
????這樣,get和post注入都被禁止了。
????另外就是數(shù)據(jù)庫(kù)的問(wèn)題,首先現(xiàn)在很流行的用*.asp命名數(shù)據(jù)庫(kù)已經(jīng)沒(méi)什么意義了,因?yàn)榭梢杂孟螺d軟件來(lái)下載;在數(shù)據(jù)庫(kù)名前加#的作用也不大,雖然訪問(wèn)時(shí)瀏覽器只訪問(wèn)#前面的內(nèi)容,但是如果將#用其unicode表達(dá)法(%23)替換掉就可以訪問(wèn)了。既然這樣,那么我們禁止入侵者暴庫(kù)就可以了。一般暴數(shù)據(jù)庫(kù)的方法,是將讀取數(shù)據(jù)庫(kù)的文件名(如conn.asp)前的"/"替換為"%5c"("\"的unicode表達(dá)法)這樣就可以使ASP將%5c解釋為訪問(wèn)網(wǎng)站根目錄,而實(shí)際是數(shù)據(jù)庫(kù)不在指定位置,找不到數(shù)據(jù)庫(kù),再將IE設(shè)置為"顯示友好的HTTP錯(cuò)誤信息"的情況下自然就暴出了數(shù)據(jù)庫(kù)的路徑。
????防范的方法也比較簡(jiǎn)單,就是讓ASP程序即使在出錯(cuò)的情況下也不報(bào)錯(cuò)直接執(zhí)行下一步就可以了。在ASP的conn文件中加這么一句:on?error?resume?next就OK了。
還有幾點(diǎn)要注意的:
1.數(shù)據(jù)庫(kù)命名長(zhǎng)些并盡量放在網(wǎng)站根目錄下,數(shù)據(jù)庫(kù)的表名和字段名盡量不合常規(guī);2.保存敏感信息(如用戶(hù)和密碼)的數(shù)據(jù)庫(kù)盡量和在前臺(tái)頁(yè)面引用的數(shù)據(jù)庫(kù)分開(kāi)(如果用新的暴庫(kù)方法由前臺(tái)頁(yè)面暴出了數(shù)據(jù)庫(kù),那么入侵者也得不到有價(jià)值的信息);3.后臺(tái)的目錄名和登陸頁(yè)面的名字要改的不尋常些,千萬(wàn)不可出現(xiàn)admin或者login之類(lèi)的字符,以免被注入軟件掃描到后臺(tái)。4.如果前臺(tái)或后臺(tái)有上傳文件的功能,切記不能有任何其他功能直接的或間接的擁有更改文件名的權(quán)限。這樣的多重保障就更加安全些了。