浅谈网站入侵和防御.docVIP

浅谈网站入侵和防御 　　摘要: 动网的漏洞已经算很少的了,想要找到数据库的实际位置也不简单,但这不表明黑客无孔可入,也正是这个观点,一般的程序设计员常常忘记仔细的检查是否有漏洞,所以才有可能导致网站资料被窃取的事件发生。针对常见网站安全漏洞问题,引起大家的重视及采取有效的防范措施。 　　关键词: 安全漏洞;入侵与防御 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0510146-02 　　0 引言 　　随着Internet的发展,Web技术日新月异,人们已经不再满足于静态HTML技术,更多的是要求动态、交互的网络技术。继通用网关接口(CGI)之后,微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。与此同时,Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。目前,IIS+ASP+Access是中小型Internet网站的首选方案。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。 　　1 页面攻击的理论与实现 　　一种是以利用浏览器漏洞在访问页面里编写恶意代码对访问者的攻击。这里我们可以理解为服务端对客户端的攻击。另一种刚好相反,是访问者利用页面的漏洞对服务器的攻击。我们这里主要讲的是对服务器的攻击。 　　现在网站程序的编写里为了丰富站点的内容和功能,大面积的采用了动态页。在动态页里面最大的失误是无条件的相信用户的输入。如果一个用户受到浏览器的限制,可以通过浏览器和服务器的交互来打开攻击WEB应用的大门。在现在的黑客站点上攻击和操作WEB站点的工具好多的。完全可以不受限于浏览器。 　　分析一下程序员在编写的用户表单的时候大多会做这样的假设: 　　在用户名里用户会输入的人们通常习惯的用户名字。密码栏也一样。他们经常就不会想到用户名里要是输入了带有引号之类的特殊字符会怎样。 　　我们来看一下这段代码 　　C#代码查询后端SQL Server数据库,假设user和password变量的值直接取自用户输入: 　　SqlDataAdapter my_query = new SqlDataAdapter( 　　 SELECT * FROM accounts WHERE acc_user= + user + AND acc_password= + password, the_connection); 　　这就是上面说过的用户表单 　　在正常情况下这段代码也可以达到预期的效果,如果你的用户名和密码在其数据库里不能对应上就不能正常的登陆。 　　但如果在user输入域中输入“OR 1=1”,没这个样的用户吧。 　　但我们同样能够登陆,而且不需要密码!甚至在查询后加上适当的调用还可以执行SHELL命令。 　　大名鼎鼎的SQL注入式攻击就是是利用了篡改参数”部分描述。 　　我们可以在输入处插入特殊字符来改变SQL查询的本意,欺骗数据库服务器执行不正常查询。这样就有可能获得后端数据库里保存的所有信息。 　　最后在举例一段脚本执行的攻击方式 　　先看下面这段代码: 　　 　　 　　 标签文字 　　 　　 　　 反馈信息输入处 　　 　　　　Text=提交! OnClick=do_feedback 　　 　　 　　 　　Sub do_feedback(sender As Object, e As System.EventArgs) 　　Label1.Text=feedback.Text 　　End Sub 　　 　　 这也是很多页面都使用的 　　 但这里面却有一个漏洞。 　　 我们可以把特殊的用户嵌入到应答页面。 　　alert(document.cookie) 　　 　　 这其实也就是利用JavaScript代码构造的一个特殊查询。 　　2 IIS+ASP建网站的安全性分析 　　IIS+ASP+Access解决方案的主要安全隐患来自Access数据库的安全性,其次在于ASP网页设计过程中的安全意识和措施。 　　2.1 数据库可能被下载 　　在IIS+ASP+Access网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。例如:对于网上书店数据库,一般命名为book.mdb、store.mdb等,存储路径一般为“URL/database”或放在根目录“URL/”下,这样,任何人敲入地址:“URL/database/store.mdb”, 数据库就可以被下载了。 　　2.2 数据库可能被解密