Web 攻防无限制.docVIP

Web 攻防无限制 第三章 Web 攻防无限制 Web 就是我们常说的“网页” ，在进行网页浏览的时候大家是否考虑过安全方面的问题？ 是否遇见过一些网页访问后系统就出现问题？是否发现自己的首页被强行设置为 XXX 网站的 地址？是否被迫观看一些无聊的广告……我们将这些现象统称为“Web 攻击” 。既然被攻击， 那就应该知道攻击的原理及如何去防范这些攻击。 3.1 常见 ASP 脚本攻击 由于 ASP 的方便易用，越来越多网站的后台程序使用 ASP 脚本语言。但是，由于 ASP 本身存在一些安全漏洞，稍不留心就会给黑客留下可乘之机。事实上，安全不仅是网管的事， 编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨 大的安全隐患。目前，大多数网站上的 ASP 程序有这样那样的安全漏洞，但如果写程序的时 候注意的话，还是可以避免的。 1．用户名与口令被破解 ■攻击原理 用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果 是严重的。 ■防范技巧 涉及用户名与口令的程序最好封装在服务器端，尽量少在 ASP 文件里出现，涉及与数据 库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比 较隐蔽的包含文件中。如果涉及与数据库连接，理想状态下只给它以执行存储过程的权限， 千万不要直接给予该用户以修改、插入、删除记录的权限。 2．验证被绕过 ■攻击原理 现在需要经过验证的 ASP 程序多是在页面头部加一个判断语句，但这还不够，有可能被 黑客绕过验证直接进入。 98 曝光黑客 曝光黑客 ■防范技巧 需要经过验证的 ASP 页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话 才能读取这个页面。 3．INC 文件泄露问题 ■攻击原理 当存在 ASP 的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追 加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位， 并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。 ■防范技巧 程序员应该在网页发布前对其进行彻底的调试；安全专家需要固定 ASP 包含文件以便外 部的用户不能看它们。首先对.inc 文件内容进行加密，其次也可以使用.asp 文件代替.inc 文 件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者 有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。 4．自动备份被下载 ■攻击原理 在有些编辑 ASP 程序的工具，当创建或者修改一个 ASP 文件时，编辑器自动创建一个备 份文件，比如：UltraEdit 就会备份一个.bak 文件，如你创建或者修改了 some.asp，编辑器 自动生成一个叫 some.asp.bak 文件，如果你没有删除这个.bak 文件，攻击者有可以直接下 载 some.asp.bak 文件，这样 some.asp 的源程序就会被下载。 ■防范技巧 上传程序之前仔细检查，删除不必要的文档。对以 BAK 为后缀的文件要特别小心。 5．特殊字符 ■攻击原理 输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏； 如果该输入框涉及数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的 全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查， 仍有可能被绕过。 99 C Ch ha ap pt te er r 3 3 W We eb b 攻 攻防 防无 无限 限制 制 ■防范技巧 在处理类似留言板、BBS 等输入框的 ASP 程序中，最好屏蔽掉 HTML、JavaScript、 VBScript 语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对 输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序 中进行类似检查。 6．数据库下载漏洞 ■攻击原理 在用 ACCESS 做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的 ACCESS 数据库的路径和数据库名称，那么他就能够下载这个 ACCESS 数据库文件，这是非 常危险的。 ■防范技巧 （1）为数据库文件名称起个复杂的非常规的名字，并把它放在几目录下。所谓“非常规” ， 比如有个数据库要保存的是有关书籍的信息，可不要把它取个“book.mdb”的名字，取个怪 怪的名称，比如 d34ksfslf.mdb，再把它放在如/kdslf/i44/studi/的几层目录下，这样黑客要 想通过猜的方式得到你的 ACCESS 数据库文件就难上加难了。