转：ASP常见的安全漏洞

asp常见的安全漏洞

　　asp的漏洞已经算很少的了，想要找到数据库的实际位置也不简单，但这不表明黑客无孔可入，也正是这个观点，一般的程序设计员常常忘记仔细的检查是否有漏洞，所以才有可能导致网站资料被窃取的事件发生。今天我在这里和大家谈谈asp常见的安全漏洞，以引起大家的重视及采取有效的防范措施。（注意，在本文中所介绍的方法请大家不要试用，请大家自觉遵守网络准则，谢谢！）

　　microsoft 的 internet information server（iis）提供利用 active server pages（asps）而动态产生的网页服务。一个asp文件，就是一个在 html 网页中，直接内含程序代码的文件。回询（request）一个 asp 文件，会促使 iis 运行网页中内嵌的程序代码，然后将其运行结果直接回送到浏览器上面。另一方面，静态的 html 网页，是按照其原来的样子回传到浏览器上面，没有经过任何的解析处理。在这里，iis 是利用档案的附加档名来区别档案的型态。一个附加档名为 .htm 或 .html 的档案是属于静态的 html 档案，而附加档名为 .asp 的档案则为一个active server pages 档案。正因为如此，这一个active server pages 就给别人留了后门。

　　例如，通过利用这个简单的参数，就会显示它所在的系统的时间。日期是自动从系统取得的，而以网页的方式传送出来。通过浏览器回询这个网页，我们不会看到刚刚的程序代码，而是看到程序代码的执行结果，或许在所有网络安全漏洞里面，最不受重视的就是未经过解析的文件内容或程序代码无意中被显示出来的安全漏洞。简单的说，这些安全漏洞允许使用者从网页服务器骗取动态网页里面的程序代码。

　　以前最早人们利用 asp安全漏洞的方式，就是利用 windows nt 的数据传输串行的特性去存取档案。你只要利用一个最简单的参数（::$data）你就可以看到 asp 的原始程序了。

　　例如，以下的 url：
　　http://10.1.1.11/login.asp::$data
　　你会取得一个叫做login.asp的档案中未经过解析的 asp 程序代码。因为这个 url 字符串并没有以 .asp 做结束，iis 就没有办法决定这个被回询的档案是否为一个 asp 档。

　　显示的程序代码如下：
ｘｘｘｘ
alert("请输入您的 密码!!")
}
else {
document.f1.action="checkuser.asp"　
document.f1.submit()
}
}
ｘｘｘｘ

　　注：checkuser.asp 就是检查帐号密码的东西！

　　当然了，并非所有的程序代码上安全漏洞都归咎于网页服务器软件。例如，如果你采用典型安装 widows nt option pack 4.0的话，安装程序会将exploration air 安装上去，这是提供给 asp 程序设计员当范例用的网站应用软件程序。其中widows nt option pack 4.0的 showcode.asp 档案会将 exploration air 范例网站的原始程序代码整齐的显示出来。由于在程序里面并没有严格的权限检验程序，一个有经验的访客就可以猜到文件名称以及它们的目录路径，他就可以利用 showcode.asp 将任何在档案系统里面的档案读取。

　　这个黑客只要在他的浏览器里面用url字符串，指定正确的文件名称以及目录路径当作 showcode.asp 的参数就可以了。例如，以下的 url 可以让黑客看到在10.11.11.15服务器上default.asp 里面的原始程序代码:

http://10.11.11.15/msadc/samples/selector/showcode.asp?source=/
msadc/samples/../../../../../inetpub/wwwroot/default.asp

　　msadc/samples/selector/showcode.asp 这是一个 fso 的范例程序，主要用意在教您如何使用 fso 去 view asp 的 source ，程序中虽然有限定只能 view /msadc/samples/ 下的档案。但是利用 mappath 中回到上一层的语法来加以破解。（你可用一连串的 "../" 来跳到档案系统的最顶层，然后将在其它目录的档案窃取出来，当然要先经过存取权这一关才可以。）

　　架设有服务器的朋友可以试试看这个 link ，试试能不能看到你根目录底下的档案 ，如果可以，那你就该注意了！

　　而在iis 5.0 的安全漏洞，其中之一就是利用 .htr 控制模块（handler）解析档案能力的安全漏洞了。iis 的 internet service manager 使用 ism.dll 来处理 .htr 档案。iis 本身则使用 asp.dll 来处理 asp 档案。利用 .htr 的安全漏洞，黑客可以将任何档案（包括 .asp 档，.asa 档等等）用 ism.dll 处理，而非用 asp.dll 处理。而因为 ism.dll 并非被设计用来处理 asp 的 tag，它便直接把原始程序代码显示出来。要想利用这个安全漏洞，远程的黑客们只要在他们的 url字符串的尾巴加上 +.htr。例如，要在10.11.11.15上看 default.asp 的原始程序代码，一个黑客可以用下面的 url：

http://10.11.11.15/default.asp+.htr

　　这时你只要在浏览器的菜单栏，选择“查看/源文件”就可以看到 asp的程序，一切都很简单，防火墙挡不住这个。不过，和showcode.asp不一样的是，这个漏洞不能让黑客们直接在网站服务器文件根目录之外窃取出指定的档案。另外，如果 asp 文档有 的卷标，这个方法运作起来也不会很顺利。在碰到 % 符号时，输出结果会被终止掉。因此，利用这个漏洞所能窃取的一般是使用 script runat="server" … /script 卷标的 asp 文件。

　　一般说来，在任何一个建在 iis asp 以及 sql server 之上的网站中，让黑客感兴趣的资料是global.asa。这个global.asa 档案是存在于网站文件根目录之下，它含有一些网页应用程序的设定参数。设定的参数可以包括事先定义好的变量，数据库使用者识别码及密码，系统名称，以及数据库服务器地址。一旦黑客们取得 global.asa，就等于取得了整个网站大门的钥匙。

    例如，利用以下的url: http://10.11.11.15/global.asa+.htr可以取得10.11.11.15上面的 global.asa 档案。注意那个数据库连接字符串中的 uid 和 pwd。这给了黑客一个使用者名称以及密码:

script language="vbscript" runat="server">
sub application_onstart
set db = server.createobject("commerce.dbserver")
db.connectionstring = "dsn=trans.db;uid=sa;pwd=n0t4u2c"
db.application = http://10.11.11.15/
set application("db") = db
end sub
sub session_onstart
==visual interdev generated – dataconnection startspan==
–project data connection
session("dataconn_connectionstring") =
"dsn=certsrv;dbq=c:\winnt2\system32\certlog\certsrv.mdb;driverid=25;
fil=ms access;maxbuffersize=512;pagetimeout=5;"
session("dataconn_connectiontimeout") = 15
session("dataconn_commandtimeout") = 30
session("dataconn_runtimeusername") = ""
session("dataconn_runtimepassword") = ""
==visual interdev generated – dataconnection endspan==
end sub
/script

　　microsoft 已经以修正这项安全漏洞。

　　在.htr 安全漏洞得到修正之后，黑客们又找到了新的切入点：translate: f 模块的安全漏洞。translate: f 模块是 microsoft 为了 frontpage 2000 以及 frontpage 2000 server extensions on windows 2000 而设计的 webdav 的一部份。如果一个反斜线（\）被附加到所要求的档案资源之后，而且 translate: f 模块在提出回询的 http 表头标题里面，那么网页服务器就会回传完全未经处理的 asp 原始程序代码。

　　下面是一个使用 netcat（相关网址：http://www.l0pht.com/~weld/netcat/）送出回询的 http 表头，可以用来取得10.11.11.15上面 default.asp 的原始程序代码:

$ nc10.11.11.1580
get /default.asp%5c http/1.0
host: 10.11.11.15
user-agent: mozilla/4.0
content-length: 18
content-type: text/html
translate: f
match=www&errors=0

　　注意：在 get 回询中，用了%5c。 反斜线字符（\）的十六位 ascii 码表示方式就是 %5c。 这个方法，在 asp 以及 asa 的档案里面都可以使用。另外，在iis 4.0 上安装运行frontpage 2000 server extensions 会存在这种安全漏洞。如果你相进一步了解该项安全漏洞的更多信息，可以在 http://www.securityfocus.com/bid/1578 ，此外microsoft 也已经公布了修复的patch （下载网址：http://download.microsoft.com/download/win2000platform/patch/q256888/nt5/en-us/q256888_w2k_sp1_x86_en.exe。）

　　结论：

　　系统架设时的不小心，程序编写时的不注意，往往就是可能导致泄密的主因。为了减少你的网页服务器不会再遭受这种安全漏洞的威胁，你要确定你的网页服务器没有任何会泄漏珍贵信息的程序或不必要的 script 以及档案，只安装你需要的东西，并且定期使用安全检测软件对服务器进行检查，到网上了解最新的系统安全消息和知识。