監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

網(wǎng)站如何防范“上傳漏洞”入侵

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

“上傳漏洞”入侵是目前對(duì)網(wǎng)站最廣泛的入侵方法。90%的具有上傳頁面的網(wǎng)站,都存在上傳漏洞。本文將介紹常見的上傳漏洞及其防范技巧。

一、能直接上傳asp文件的漏洞

如果網(wǎng)站有上傳頁面,就要警惕直接上傳asp文件漏洞。例如去年流行的動(dòng)網(wǎng)5.0/6.0論壇,就有個(gè)upfile.asp上傳頁面,該頁面對(duì)上傳文件擴(kuò)展名過濾不嚴(yán),導(dǎo)致黑客能直接上傳asp文件,因此黑客只要打開upfile.asp頁,直接上傳,asp木馬即可拿到webshell、擁有網(wǎng)站的管理員控制權(quán)。

除此之外,目前已發(fā)現(xiàn)的上傳漏洞,還有動(dòng)感購物商城、動(dòng)力上傳漏洞、喬客上傳漏洞等,只要運(yùn)行“明小子Domain3.5”,點(diǎn)擊“綜合上傳”,即可看到這些著名的上傳漏洞。

像明小子這樣的上傳漏洞利用工具如今還有很多,例如上傳漏洞程序4in1、動(dòng)易2005上傳漏洞利用工具、雷池新聞系統(tǒng)上傳漏洞利用工具、MSSQL上傳漏洞利用工具等等,使用此類工具,只需填寫上傳頁面網(wǎng)址和Cookies,即可成功入侵網(wǎng)站。

【防范方法】:為了防范此類漏洞,建議網(wǎng)站采用最新版(例如動(dòng)網(wǎng)7.1以上版本)程序建站,因?yàn)樽钚掳娉绦蛞话愣紱]有直接上傳漏洞,當(dāng)然刪除有漏洞的上傳頁面,將會(huì)最安全,這樣黑客再也不可能利用上傳漏洞入侵了!

如果不能刪除上傳頁面,為了防范入侵,建議在上傳程序中添加安全代碼,禁止上傳aspasajsexecom等類文件,這需要管理者能看懂a(chǎn)sp程序。

二、00上傳漏洞

目前網(wǎng)上流行的所有無組件上傳類都存在此類漏洞——即黑客利用“抓包嗅探”、“ULTRAEDIT”和“網(wǎng)絡(luò)軍刀”等工具偽造IP包,突破服務(wù)器端對(duì)上傳文件名、路徑的判斷,巧妙上傳ASP、ASA、CGI、CDX、CER、ASPX類型的木馬。

例如黑客上傳了一個(gè)木馬文件(xiaomm.asp空格.jpg),由于上傳程序不能正確判斷含有十六進(jìn)制00的文件名或路徑,于是就出現(xiàn)了漏洞,當(dāng)上傳程序接收到“xiaomm.asp空格.jpg”文件名數(shù)據(jù)時(shí),一旦發(fā)現(xiàn)xiaomm.asp后面還有空格(十六進(jìn)制的00),它就不會(huì)再讀下去,于是上傳的文件在服務(wù)器上就會(huì)被保存成xiaomm.asp,因此上傳木馬就成功了!

【防范方法】:最安全的防范辦法就是刪除上傳頁面。

三、圖片木馬上傳漏洞

有的網(wǎng)站(例如動(dòng)網(wǎng)7.1SP1博客功能),其后臺(tái)管理中可以恢復(fù)/備份數(shù)據(jù)庫,這會(huì)被黑客用來進(jìn)行圖片木馬入侵。

圖片木馬入侵過程如下:首先將本地木馬(例如F:labxwxiaomm.asp)擴(kuò)展名改為.gif,然后打開上傳頁面,上傳這個(gè)木馬(例如F:labxwxiaomm.gif);再通過注入法拿到后臺(tái)管理員的賬號(hào)密碼,溜進(jìn)網(wǎng)站后臺(tái)管理中,使用備份數(shù)據(jù)庫功能將.gif木馬備份成.asp木馬(例如xiaomm.asp),即在“備份數(shù)據(jù)庫路徑(相對(duì))”輸入剛才圖片上傳后得到的路徑,在“目標(biāo)數(shù)據(jù)庫路徑”輸入:xiaomm.asp,提示恢復(fù)數(shù)據(jù)庫成功;現(xiàn)在打開IE,輸入剛才恢復(fù)數(shù)據(jù)庫的asp路徑,木馬就能運(yùn)行了。

【防范方法】:刪除后臺(tái)管理中的恢復(fù)/備份數(shù)據(jù)庫功能。

四、添加上傳類型漏洞

如今大多數(shù)論壇后臺(tái)中都允許添加上傳類型,這也是個(gè)不小的漏洞!只要黑客用注入法拿到后臺(tái)管理員賬號(hào)密碼,然后進(jìn)入后臺(tái)添加上傳類型,在上傳頁面中就能直接上傳木馬!

例如bbsxp后臺(tái)中允許添加asa|asP類型,通過添加操作后,就可以上傳這兩類文件了;ewebeditor后臺(tái)也能添加asa類型,添加完畢即可直接上傳asa后綴的木馬;而LeadBbs3.14后臺(tái)也允許在上傳類型中增加asp類型,不過添加時(shí)asp后面必須有個(gè)空格,然后在前臺(tái)即可上傳ASP木馬(在木馬文件擴(kuò)展名.asp后面也要加個(gè)空格)。

【防范方法】:刪除后臺(tái)管理中的添加上傳類型功能。

五、通用防范上傳漏洞入侵秘笈:將服務(wù)器端的組件改名

眾所周知,ASP木馬主要是通過三種組件FileSystemObject、WScript.Shell和Shell.Application來操作的,因此只要你在服務(wù)器上修改注冊(cè)表,將這三種組件改名,即可禁止木馬運(yùn)行、防范黑客入侵了。這一招能防范所有類型的上傳漏洞,因?yàn)榧词购诳蛯⒛抉R成功上傳到服務(wù)器中,但是由于組件已經(jīng)被改名,木馬程序也是無法正常運(yùn)行的!

具體而言,需要將FileSystemObject組件、WScript.Shell組件、Shell.Application組件改名,然后禁用Cmd.exe,就可以預(yù)防漏洞上傳攻擊。(ccw)

發(fā)布:2007-04-22 09:23    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
西安OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普西安OA快博其他應(yīng)用

西安OA軟件 西安OA新聞動(dòng)態(tài) 西安OA信息化 西安OA快博 西安OA行業(yè)資訊 西安軟件開發(fā)公司 西安門禁系統(tǒng) 西安物業(yè)管理軟件 西安倉庫管理軟件 西安餐飲管理軟件 西安網(wǎng)站建設(shè)公司