全部博文(155)
分类: 网络与安全
2010-02-10 14:53:50
除此之外,动易系统的重要代码都是封装在DLL组件中,由于源码不公开,就比公开源码的系统在安全性上提高了很多。
也就是因为这样的原因,一些比较弱智的漏洞扫描器就以为提交的ChannelID=%3D被执行了,于是告诉用户ShowSource.asp?ChannelID=%3D存在高危漏洞。
大家如果遇到扫描器报告有高危漏洞的,可以联系我们开发人员确认。经过开发人员确认不存在,那就肯定不存在。即使扫描器报告说有,你也不用担心。因为攻击者是没有办法利用这个漏洞的。
除了SQL注入,还有一个更严重的安全问题:上传木马。
由于上传组件(通常ASP开发者都使用一个或多个第三方开发的上传组件或者ASP类)、站长的错误设置(允许上传asp或者shtml等类型的文件),或者其它存在的上传漏洞,都可能存在被攻击者上传后门的可能性。一旦上传了漏洞,攻击者就获得了站长的权限,甚至超过站长的权限(对整个服务器构成安全威胁)。
这几年来,包括动网、动力、在内的ASP系统,都曾经出现过上传漏洞的问题(尤其是去年的upload.inc上传.cer等类型文件的漏洞)。但是为什么每次发现这种大规模存在的漏洞之后,都只有一部分网站被黑呢?当然不是攻击者手软或者良心发现,而是一些网站通过服务器设置,防止了这些漏洞导致的损失。
举个例子,如下图:
给各个不必要的目录,去掉“执行”权限,改为“无”,也就是这个目录下的文件,只能读取,不能运行。比如除了根目录以外,其它所有目录都只给读取权限即可,关闭执行权限;系统给根目录、各个频道的根目录以及User、Reg这些含有ASP网页并且ASP要从浏览器访问的目录执行权限即可,其它都可以设置为“无”。尤其是上传目录,比如UploadFiles这样的目录,还有图片目录,一定要设置为只读。
这样设置以后,即使攻击者找到了上传漏洞,把asp木马上传到了你的UploadFiles目录,他也不能利用那个木马做什么。
另外,如果你的服务器采用NTFS文件系统,那么给网站文件所在的目录设置好权限也很重要,网站所在目录,只要给IUSR_你的机器名这个用户开放了读、写权限就能正常运行。不要给EveryOne\Guest这样的用户赋予完全权限,非Web目录,应该禁止IUSR_机器名这样的用户赋予权限,这样可以避免上传的ASP木马给服务器造成严重的安全问题。
另外,在IIS的运用程序配置中,删除不需要的程序映射,也是避免因为过滤不够被攻击者上传了某些特殊类型的木马进行攻击的办法。如下图:
自己管理服务器的站长,可以多查阅一些关于NTFS权限管理、IIS权限管理的资料。