ASP網站防黑有道
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
對待ASP網站的攻擊,黑客一般會使用ASP木馬如海洋頂端ASP木馬進行入侵。其實我們只要采取一定的措施就能夠有效預防ASP網站被入侵事件的發生。本文重點討論ASP網站如何防御ASP木馬。文中案例所使用的ASP網站平臺是在國內有著廣泛用戶群的動易網站管理系統免費版以及動網論壇免費版,具有一定的代表性。
適合讀者:網管、安全愛好者 預備知識:ASP編程 小知識:什么是ASP木馬 它是用ASP編寫的網站程序。它和其它ASP程序沒有本質區別,只要是能運行ASP的空間就能運行它,這種性質使得ASP木馬非常不易被發覺。就算是優秀的殺毒軟件,也未必能夠檢測出它到底是ASP木馬還是正常的ASP網站程序。這也是為什么ASP木馬猖獗的原因。 ASP木馬入侵原理 要預防木馬的入侵,就要先了解入侵的原理。想通過ASP木馬入侵,必須先將木馬上傳到目標空間,然后直接在客戶端瀏覽器里面運行木馬,接著就可以進行文件修改、目錄刪除等等具有破壞性的工作。 黑客入侵ASP網站一般使用兩種方式: 第一種是上傳木馬后,利用木馬以及操作系統漏洞在Windows啟動項里添加一個批處理文件,用來添加管理員賬號,然后用管理員賬號停止防火墻運行和進行文件修改刪除等操作。 第二種是上傳木馬后,直接通過木馬刪除網站里面的目錄和文件。 找準關鍵對癥下藥 通過分析可以發現,我們提到的兩種入侵方式都是利用ASP網站的上傳功能,先上傳木馬,然后借助木馬對文件進行修改刪除等操作。簡單說來,要做的第一步就是阻止ASP文件的上傳;其次,如果被上傳了ASP木馬,就要杜絕木馬的運行。 ASP木馬本身就是個ASP文件。所以很關鍵的一點是限制ASP文件的上傳。一般ASP網站本身就有文件上傳功能,并且默認是限制了ASP文件的上傳,不過黑客能夠想方設法上傳他們的木馬文件。 國內較多見的就是使用桂林老兵網站上傳利用工具,可以先將木馬文件的擴展名改為JPG或者GIF,進行上傳,然后再改回ASP文件。針對這種方法我們該怎么辦呢? 安全與便捷并行 要防患于未然,一些前期工作必須先做好。首先就是養成及時備份的習慣;其次,如果你的網站采用ACCESS數據庫,那么要保證你網站的主數據庫不能以MDB為擴展名,將擴展名改成ASP,這樣可以防止黑客直接下載到網站數據庫并猜解網站管理員密碼;第三,網站管理員密碼位數推薦超過12位。 這樣即使不小心被下載到數據庫,因為一般成熟的ASP網站數據庫密碼部分都會采用MD5碼加密,暴力破解也需要相當長的時間。這些基本的要求如果都做到了,那我們就來看看具體是如何防御ASP木馬的。 限制ASP執行權限 雖然無法通過殺毒軟件查殺ASP木馬,但可以采取其他方法進行有效防范。就知名的動易網站管理系統或者動網論壇來說,默認是允許注冊用戶上傳文件的。黑客可以利用工具將ASP木馬偽裝后上傳至服務器。 關鍵就在于他們上傳文件所存放的目錄是固定的,具體說就是通過網站上傳的文件只會出現在我們ASP網站程序所指定的目錄下。 如果要完全限制網站注冊用戶上傳文件的權限是不現實的。所以,我們能做的第一步,就是禁止ASP文件在此目錄的執行權限。目的就是讓上傳來的ASP木馬無法執行。具體方法如下: 打開IIS,右鍵點擊網站里面供上傳的目錄,點擊屬性,我們可以看到屬性窗口;將此目錄的"執行權限"設置成"無";用同樣的方法,再將存放數據庫的文件夾以及其余幾個可供用戶上傳文件的文件夾的"執行權限"全都設置成"無"。 服務器上的安全設置 即使限制了上傳目錄的ASP的執行權限,但也無法保證服務器的絕對安全。所以,服務器上面也要進行一些設置。 服務器操作系統以Windows 2003為例,首先當然是要將磁盤轉為NTFS格式。其次,可以將默認的Administrator改名,并設置足夠位數的密碼(推薦12位以上)。為了欺騙黑客,還可以另外建一個名為Administrator的賬號,并設置密碼,賦予最低權限。 在Windows 2003操作系統里面設置相應文件夾的權限。由于網站做好后一般一段時間都不會隨便對源代碼進行修改,所以可以對不需要進行修改的地方設置只讀權限,僅開放幾個上傳的文件夾的可寫權限。對系統默認的Everyone的權限進行限制,拒絕Everyone的刪除以及修改權限。僅在我們需要對網站進行修改的時候,才暫時將此限制去掉。具體操作過程如下: 對存放網站的文件夾點擊右鍵,點擊"共享和安全";在安全選項卡上,可以看到屬性窗口;為限制Everyone的權限,點擊下面的高級按鈕;在彈出的"高級安全設置"對話框中的"權限"選項卡上,點擊"添加";在"選擇用戶或組"底下的框中輸入名稱"Everyone",再點擊"確定"; 在出現的對話框中勾選"創建文件/寫入數據"、"創建文件夾/附加數據"、"刪除子文件夾及文件"、"刪除"、"更改權限"的拒絕權限,并設置將它應用到"該文件夾及文件"。 同樣的方法,再對網站里面的各個子文件夾進行設置,拒絕一些網管對不需要修改的文件夾的更改、寫入數據等權限。要注意的是,供網站用戶上傳文件的文件夾,要保留其寫入的權限。 由于Windows的用戶組權限是拒絕優先,所以設置好后要測試,供上傳的文件夾不能限制其寫入權限。 我們做好了這些權限的設置之后,可以自己試著對網站的文件或者文件夾進行改名、刪除等操作,看看是否會提示拒絕訪問或者沒有這個權限。如果測試通過,那么修改是成功的。 以上是筆者在實踐中總結出的經驗,雖然不能百分百保證網站的安全,不過應該說通過這些設置,網站的總體安全性有了很大的提高。在修改了這些權限設置之后,就算黑客上傳了幾個木馬文件,但上傳了也無法運行,不會造成什么后果。 該文章在 2011/3/14 15:29:44 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
