當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
網(wǎng)站如何防范“上傳漏洞”入侵
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件“上傳漏洞”入侵是目前對(duì)網(wǎng)站最廣泛的入侵方法。90%的具有上傳頁面的網(wǎng)站,都存在上傳漏洞。本文將介紹常見的上傳漏洞及其防范技巧。
一、能直接上傳asp文件的漏洞
如果網(wǎng)站有上傳頁面,就要警惕直接上傳asp文件漏洞。例如去年流行的動(dòng)網(wǎng)5.0/6.0論壇,就有個(gè)upfile.asp上傳頁面,該頁面對(duì)上傳文件擴(kuò)展名過濾不嚴(yán),導(dǎo)致黑客能直接上傳asp文件,因此黑客只要打開upfile.asp頁,直接上傳,asp木馬即可拿到webshell、擁有網(wǎng)站的管理員控制權(quán)。
除此之外,目前已發(fā)現(xiàn)的上傳漏洞,還有動(dòng)感購物商城、動(dòng)力上傳漏洞、喬客上傳漏洞等,只要運(yùn)行“明小子Domain3.5”,點(diǎn)擊“綜合上傳”,即可看到這些著名的上傳漏洞。
像明小子這樣的上傳漏洞利用工具如今還有很多,例如上傳漏洞程序4in1、動(dòng)易2005上傳漏洞利用工具、雷池新聞系統(tǒng)上傳漏洞利用工具、MSSQL上傳漏洞利用工具等等,使用此類工具,只需填寫上傳頁面網(wǎng)址和Cookies,即可成功入侵網(wǎng)站。
【防范方法】:為了防范此類漏洞,建議網(wǎng)站采用最新版(例如動(dòng)網(wǎng)7.1以上版本)程序建站,因?yàn)樽钚掳娉绦蛞话愣紱]有直接上傳漏洞,當(dāng)然刪除有漏洞的上傳頁面,將會(huì)最安全,這樣黑客再也不可能利用上傳漏洞入侵了!
如果不能刪除上傳頁面,為了防范入侵,建議在上傳程序中添加安全代碼,禁止上傳aspasajsexecom等類文件,這需要管理者能看懂a(chǎn)sp程序。
二、00上傳漏洞
目前網(wǎng)上流行的所有無組件上傳類都存在此類漏洞——即黑客利用“抓包嗅探”、“ULTRAEDIT”和“網(wǎng)絡(luò)軍刀”等工具偽造IP包,突破服務(wù)器端對(duì)上傳文件名、路徑的判斷,巧妙上傳ASP、ASA、CGI、CDX、CER、ASPX類型的木馬。
例如黑客上傳了一個(gè)木馬文件(xiaomm.asp空格.jpg),由于上傳程序不能正確判斷含有十六進(jìn)制00的文件名或路徑,于是就出現(xiàn)了漏洞,當(dāng)上傳程序接收到“xiaomm.asp空格.jpg”文件名數(shù)據(jù)時(shí),一旦發(fā)現(xiàn)xiaomm.asp后面還有空格(十六進(jìn)制的00),它就不會(huì)再讀下去,于是上傳的文件在服務(wù)器上就會(huì)被保存成xiaomm.asp,因此上傳木馬就成功了!
【防范方法】:最安全的防范辦法就是刪除上傳頁面。
三、圖片木馬上傳漏洞
有的網(wǎng)站(例如動(dòng)網(wǎng)7.1SP1博客功能),其后臺(tái)管理中可以恢復(fù)/備份數(shù)據(jù)庫,這會(huì)被黑客用來進(jìn)行圖片木馬入侵。
圖片木馬入侵過程如下:首先將本地木馬(例如F:labxwxiaomm.asp)擴(kuò)展名改為.gif,然后打開上傳頁面,上傳這個(gè)木馬(例如F:labxwxiaomm.gif);再通過注入法拿到后臺(tái)管理員的賬號(hào)密碼,溜進(jìn)網(wǎng)站后臺(tái)管理中,使用備份數(shù)據(jù)庫功能將.gif木馬備份成.asp木馬(例如xiaomm.asp),即在“備份數(shù)據(jù)庫路徑(相對(duì))”輸入剛才圖片上傳后得到的路徑,在“目標(biāo)數(shù)據(jù)庫路徑”輸入:xiaomm.asp,提示恢復(fù)數(shù)據(jù)庫成功;現(xiàn)在打開IE,輸入剛才恢復(fù)數(shù)據(jù)庫的asp路徑,木馬就能運(yùn)行了。
【防范方法】:刪除后臺(tái)管理中的恢復(fù)/備份數(shù)據(jù)庫功能。
四、添加上傳類型漏洞
如今大多數(shù)論壇后臺(tái)中都允許添加上傳類型,這也是個(gè)不小的漏洞!只要黑客用注入法拿到后臺(tái)管理員賬號(hào)密碼,然后進(jìn)入后臺(tái)添加上傳類型,在上傳頁面中就能直接上傳木馬!
例如bbsxp后臺(tái)中允許添加asa|asP類型,通過添加操作后,就可以上傳這兩類文件了;ewebeditor后臺(tái)也能添加asa類型,添加完畢即可直接上傳asa后綴的木馬;而LeadBbs3.14后臺(tái)也允許在上傳類型中增加asp類型,不過添加時(shí)asp后面必須有個(gè)空格,然后在前臺(tái)即可上傳ASP木馬(在木馬文件擴(kuò)展名.asp后面也要加個(gè)空格)。
【防范方法】:刪除后臺(tái)管理中的添加上傳類型功能。
五、通用防范上傳漏洞入侵秘笈:將服務(wù)器端的組件改名
眾所周知,ASP木馬主要是通過三種組件FileSystemObject、WScript.Shell和Shell.Application來操作的,因此只要你在服務(wù)器上修改注冊(cè)表,將這三種組件改名,即可禁止木馬運(yùn)行、防范黑客入侵了。這一招能防范所有類型的上傳漏洞,因?yàn)榧词购诳蛯⒛抉R成功上傳到服務(wù)器中,但是由于組件已經(jīng)被改名,木馬程序也是無法正常運(yùn)行的!
具體而言,需要將FileSystemObject組件、WScript.Shell組件、Shell.Application組件改名,然后禁用Cmd.exe,就可以預(yù)防漏洞上傳攻擊。(ccw)
- 1安倍稱日美韓聯(lián)手可強(qiáng)硬制華 “強(qiáng)硬條件已具備”
- 2幾種無線技術(shù)的融合分析
- 3360客戶端管理系統(tǒng)、騰訊QQ客戶端系統(tǒng)、大渝網(wǎng)運(yùn)作模式
- 4美國防部管理絕密內(nèi)容的新技術(shù)
- 513項(xiàng)移動(dòng)技術(shù)改變未來
- 6ILM標(biāo)準(zhǔn)化與實(shí)踐
- 7JAVA新技術(shù)在協(xié)同BPM軟件中的應(yīng)用
- 8數(shù)據(jù)中心的五維度評(píng)估法
- 9五大技術(shù)改變未來
- 10公安局長曝父與妻亂倫 調(diào)查并無“水洞公安局”
- 11四種最新城域電信級(jí)以太網(wǎng)技術(shù)
- 12專家剖析內(nèi)網(wǎng)安全數(shù)據(jù)加密技術(shù)優(yōu)缺點(diǎn)
- 13怎樣用iReport制作Web報(bào)表
- 14XML數(shù)據(jù)庫在中國的應(yīng)用狀況
- 15新安全威脅下2007殺毒軟件呈現(xiàn)六大趨勢(shì)
- 169000人和平集會(huì)悼念南京大屠殺同胞遇難75周年
- 17視頻監(jiān)控系統(tǒng)評(píng)價(jià)十準(zhǔn)則
- 18從底層了解ASP.NET構(gòu)架
- 19請(qǐng)問西安OA軟件有哪個(gè)公司好點(diǎn)的?
- 20廣域網(wǎng)的安全模型
- 21虛擬化十四問
- 22商業(yè)決策不應(yīng)對(duì)CIO說"NO"
- 23企業(yè)網(wǎng)絡(luò)安全重點(diǎn)
- 24OA系統(tǒng)辦公管理系統(tǒng)的項(xiàng)目協(xié)作管理功能好用嗎?
- 25企業(yè)存儲(chǔ)正為垃圾數(shù)據(jù)付出昂貴代價(jià)
- 26泛普OA軟件中資產(chǎn)送修的操作頁面是怎樣的?
- 27加密電子郵件
- 28揭秘全能神內(nèi)幕:借助SHE歌曲《神話》傳教義
- 29報(bào)告稱2013年物價(jià)將進(jìn)入新一輪上漲階段
- 30HTTP過濾將對(duì)安全市場(chǎng)產(chǎn)生深遠(yuǎn)影響
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓