广告联盟网

标题: 建站安全心得(草)未完 [打印本页]

作者: MaxGO    时间: 2005-4-10
标题: 建站安全心得(草)未完
网站安全方面&nbsp; &nbsp; &nbsp; &nbsp; <br />1、首先从前段时间玩得比较火的SQL注入开始。其实早在2001年SQL注入就已经有牛人在用了,而且是在国内一个比较著名的安全论坛,据说数据全被删了,损失惨重。可见SQL注入是一个危害比较严重的漏洞。SQL注入真正火起来应该在2004年,特别是当NB的注入工具出来之后,SQL注入攻击随处可见,就算是菜鸟都可以简易上手,轻松改掉被人的网页。好了闲话少说,看看具体的入侵实例:<br />&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <a href="http://maxgo.spymac.net/jiaocheng/sql.chm" target="_blank">http://maxgo.spymac.net/jiaocheng/sql.chm</a><br />&nbsp; &nbsp; &nbsp; &nbsp; 知道了别人如何入侵,防范起来就容易多了。我们需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。需要过滤的特殊字符及字符串有:<br />net user<br />xp_cmdshell<br />/add<br />exec master.dbo.xp_cmdshell<br />net localgroup administrators<br />select<br />count<br />Asc<br />char<br />mid<br />'<br />:<br />&quot;<br />insert<br />delete from<br />drop table<br />update<br />truncate<br />from<br />%<br />下面是我从网上摘选的两种关于解决注入式攻击的防范代码,供大家学习参考!<br /><br />  <br><br><div class="msgbody"><div class="msgheader"><div class="right"><a href="###" class="smalltxt" onclick="copycode($('code0'));">[Copy to clipboard]</a> <a class="smalltxt" href="###" onclick="toggle_collapse('code0');">[ <span id="code0_symbol">-</span> ]</a></div>CODE:</div><div class="msgborder" id="code0">js版的防范SQL注入式攻击代码~:<br /><br />[CODE START]   <br />&lt;script language=&quot;javascript&quot;&gt;<br />&lt;!--<br />var url = location.search;<br />var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table<br />   |update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master<br />   |net%20localgroup%20administrators|\&quot;|:|net%20user|\'|%20or%20)(.*)$/gi;<br />var e = re.test(url);<br />if(e) {<br />alert(&quot;地址中含有非法字符~&quot;);<br />location.href=&quot;error.asp&quot;;<br />}<br />//--&gt;<br />&lt;script&gt; <br />[CODE END]<br />   asp版的防范SQL注入式攻击代码~:<br /><br />[CODE START]<br /><%<br />On Error Resume Next<br />Dim strTemp<br /><br />If LCase(Request.ServerVariables(&quot;HTTPS&quot;)) = &quot;off&quot; Then<br />strTemp = &quot;http://&quot;<br />Else<br />strTemp = &quot;https://&quot;<br />End If<br /><br />strTemp = strTemp &amp; Request.ServerVariables(&quot;SERVER_NAME&quot;)<br />If Request.ServerVariables(&quot;SERVER_PORT&quot;) &lt;&gt; 80 Then strTemp = strTemp &amp; &quot;:&quot; &amp; Request.ServerVariables(&quot;SERVER_PORT&quot;)<br /><br />strTemp = strTemp &amp; Request.ServerVariables(&quot;URL&quot;)<br /><br />If Trim(Request.QueryString) &lt;&gt; &quot;&quot; Then strTemp = strTemp &amp; &quot;?&quot; &amp; Trim(Request.QueryString)<br /><br />strTemp = LCase(strTemp)<br /><br />If Instr(strTemp,&quot;select%20&quot;) or Instr(strTemp,&quot;insert%20&quot;) or Instr(strTemp,&quot;delete%20from&quot;) or Instr(strTemp,&quot;count(&quot;) or Instr(strTemp,&quot;drop%20table&quot;) or Instr(strTemp,&quot;update%20&quot;) or Instr(strTemp,&quot;truncate%20&quot;) or Instr(strTemp,&quot;asc(&quot;) or Instr(strTemp,&quot;mid(&quot;) or Instr(strTemp,&quot;char(&quot;) or Instr(strTemp,&quot;xp_cmdshell&quot;) or Instr(strTemp,&quot;exec%20master&quot;) or Instr(strTemp,&quot;net%20localgroup%20administrators&quot;) or Instr(strTemp,&quot;:&quot;) or Instr(strTemp,&quot;net%20user&quot;) or Instr(strTemp,&quot;'&quot;) or Instr(strTemp,&quot;%20or%20&quot;) then<br />Response.Write &quot;<script language='javascript'>&quot;<br />Response.Write &quot;alert('非法地址!!');&quot;<br />Response.Write &quot;location.href='error.asp';&quot;<br />Response.Write &quot;<script>&quot;<br />End If<br />%><br />[CODE END]<br />   C# 检查字符串,防SQL注入攻击<br /><br />   这个例子里暂定为=号和'号<br /><br />bool CheckParams(params object[] args)<br />{<br />  string[] Lawlesses={&quot;=&quot;,&quot;'&quot;};<br />  if(Lawlesses==null||Lawlesses.Length&lt;=0)return true;<br />  //构造正则表达式,例awlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相关内容请见MSDN)<br />  //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;<br /><br />  String str_Regex=&quot;.*[&quot;;<br />  for(int i=0;i&lt; Lawlesses.Length-1;i++)<br />   str_Regex+=Lawlesses+&quot;|&quot;;<br />   str_Regex+=Lawlesses[Lawlesses.Length-1]+&quot;].*&quot;;<br />   //<br />   foreach(object arg in args)<br />   {<br />    if(arg is string)//如果是字符串,直接检查<br />    {<br />     if(Regex.Matches(arg.ToString(),str_Regex).Count&gt;0)<br />     return false;<br />    }<br />    else if(arg is ICollection)<br />     //如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查<br />    {<br />     foreach(object obj in (ICollection)arg)<br />     {<br />      if(obj is string)<br />      {<br />       if(Regex.Matches(obj.ToString(),str_Regex).Count&gt;0)<br />        return false;<br />      }<br />     }<br />    }<br />   }<br />   return true;</div></div><br>还可以去看看动网的防注入代码,在这方面他应该是比较先进的拉,呵呵~~<br />大家应该还知道静态页面是无法注入的,索性全生成静态页面就可以了,既节省资源又有一定的安全保障还流行:)。但在SQL注入这方面也不能大意即使你的页面上没有一个动态页面的连接,也难免被各大搜索引擎的蜘蛛抓去。特别是那些源码公开的代码要及时做好防范,动易的print.asp就是一个例子,有些版本至今都可以注入。提供两个SQL注入的测试工具<br /><a href="http://maxgo.spymac.net/NBSI2.rar" target="_blank">http://maxgo.spymac.net/NBSI2.rar</a><br /><a href="http://maxgo.spymac.net/Domain3.0.rar" target="_blank">http://maxgo.spymac.net/Domain3.0.rar</a><br />2、对于那些有上传下载功能的网站、论坛,我的建议是除非必须,否则的话一律关掉,防止出现安全隐患。Serv-U是个不错的Ftp服务器,但曾经出现过非常严重的问题(可以通过远程溢出获得服务器最高权限),这方面记得及时更新,多多关注一下安全界的动态就可以了。<br /><br />&nbsp; &nbsp; &nbsp; &nbsp; 服务器安全篇<br />其实,我做站多半时间都是在整服务器。我对服务器安全这方面特别敏感,也许是因为曾今在这方面栽过跟头。当时奉主管老师之命建立了一个面向教育网内的免费空间站,windows2000Server+serv-u 支持FSO,自动申请立即开通。短短的时间内人气极旺,我把几个好友作的站也放在了上面,直到有一天我发现好友文件夹下面的网站一个都不剩,网站申请程序也被删掉一空,只剩下一些无用的文件夹,当时我真晕了,马上停掉了所有的网站,只开通FTP供注册用户下载文件,把日志文件分析了半天,终于发现就两个文件在捣鬼,dir.asp file.asp,至今我还保留着,比起现在网页木马,功能特简单。哈哈,当初怎么就栽在他们手里了。好了,不废话了,就我所了解的谈谈服务器的安全设置吧,相信可以另80%黑客望而却步。<br />1、&nbsp; &nbsp; &nbsp; &nbsp; FSO<br />网页木马主要是靠这个东东发挥威力,那么我们也就拿他来做文章。如果你的站点用不着FSO那么完全可以将它关闭具体方法:<br />在CMD命令行状态输入以下命令:<br />关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll<br />打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll<br />当然你也可以修改它,让他只为你一个人服务,但要记得修改两个地方<br />HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ <br />改名为其它的名字,如:改为FileSystemObject_ChangeName<br />也要将clsid值也改一下 <br />HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值<br />具体请参见 <a href="http://maxgo.blogchina.com/blog/article_40366.706205.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.706205.html</a><br />如果FSO是必须的那么请看 构建免受 FSO 威胁虚拟主机<br /><a href="http://maxgo.blogchina.com/blog/article_40366.897254.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.897254.html</a><br />&nbsp; &nbsp; &nbsp; &nbsp; 2、操作系统安全<br />直接对操作系统进行渗透攻击的例子有很多,大多数多是根据已发现的系统漏洞然后编写出相应的exploit,通过exploit进行相应的渗透攻击。溢出攻击是一种常用的手段,防范的方法主要是及时的对操作系统进行安全更新,在服务器上尽量的少装或不装软件,如果要装的话一定也要记得更新。否则操作系统的安全设置作的再好也没用。我曾想渗透一台服务器,尝试了很多方法,嗅探也用上了,就是没有找到解决的办法,偶然的机会发现他的装了real server 8.0,呵呵~只需一个小小的工具就可以获得它的最高权限了。<br />3、防火墙问题<br />&nbsp; &nbsp; &nbsp; &nbsp; 呵呵,其实防火墙之父都说了,WINDOWS的防火墙再厉害也不如Windows自带的组策略管用<br />&nbsp; &nbsp;&nbsp; &nbsp;那我们就来看看组策略是怎么设置的<br />使用IP策略阻止3389非法访问<a href="http://maxgo.blogchina.com/blog/article_40366.1139253.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.1139253.html</a><br />设置的方法就如上面的了,我们所要做的是阻断所有不必要端口的连接,只开通自己需要的的端口。<br />&nbsp;&nbsp;还有一些资料在搜集当中,希望能和大家好好交流<br /><br />[<i> Last edited by MaxGO on 2005-4-10 at 21:42 </i>]




欢迎光临 广告联盟网 (https://ggads.com/) Powered by Discuz! X3.2