广告联盟网
标题:
建站安全心得(草)未完
[打印本页]
作者:
MaxGO
时间:
2005-4-10
标题:
建站安全心得(草)未完
网站安全方面 <br />1、首先从前段时间玩得比较火的SQL注入开始。其实早在2001年SQL注入就已经有牛人在用了,而且是在国内一个比较著名的安全论坛,据说数据全被删了,损失惨重。可见SQL注入是一个危害比较严重的漏洞。SQL注入真正火起来应该在2004年,特别是当NB的注入工具出来之后,SQL注入攻击随处可见,就算是菜鸟都可以简易上手,轻松改掉被人的网页。好了闲话少说,看看具体的入侵实例:<br /> <a href="http://maxgo.spymac.net/jiaocheng/sql.chm" target="_blank">http://maxgo.spymac.net/jiaocheng/sql.chm</a><br /> 知道了别人如何入侵,防范起来就容易多了。我们需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。需要过滤的特殊字符及字符串有:<br />net user<br />xp_cmdshell<br />/add<br />exec master.dbo.xp_cmdshell<br />net localgroup administrators<br />select<br />count<br />Asc<br />char<br />mid<br />'<br />:<br />"<br />insert<br />delete from<br />drop table<br />update<br />truncate<br />from<br />%<br />下面是我从网上摘选的两种关于解决注入式攻击的防范代码,供大家学习参考!<br /><br /> <br><br><div class="msgbody"><div class="msgheader"><div class="right"><a href="###" class="smalltxt" onclick="copycode($('code0'));">[Copy to clipboard]</a> <a class="smalltxt" href="###" onclick="toggle_collapse('code0');">[ <span id="code0_symbol">-</span> ]</a></div>CODE:</div><div class="msgborder" id="code0">js版的防范SQL注入式攻击代码~:<br /><br />[CODE START] <br /><script language="javascript"><br /><!--<br />var url = location.search;<br />var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table<br /> |update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master<br /> |net%20localgroup%20administrators|\"|:|net%20user|\'|%20or%20)(.*)$/gi;<br />var e = re.test(url);<br />if(e) {<br />alert("地址中含有非法字符~");<br />location.href="error.asp";<br />}<br />//--><br /><script> <br />[CODE END]<br /> asp版的防范SQL注入式攻击代码~:<br /><br />[CODE START]<br /><%<br />On Error Resume Next<br />Dim strTemp<br /><br />If LCase(Request.ServerVariables("HTTPS")) = "off" Then<br />strTemp = "http://"<br />Else<br />strTemp = "https://"<br />End If<br /><br />strTemp = strTemp & Request.ServerVariables("SERVER_NAME")<br />If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")<br /><br />strTemp = strTemp & Request.ServerVariables("URL")<br /><br />If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)<br /><br />strTemp = LCase(strTemp)<br /><br />If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") then<br />Response.Write "<script language='javascript'>"<br />Response.Write "alert('非法地址!!');"<br />Response.Write "location.href='error.asp';"<br />Response.Write "<script>"<br />End If<br />%><br />[CODE END]<br /> C# 检查字符串,防SQL注入攻击<br /><br /> 这个例子里暂定为=号和'号<br /><br />bool CheckParams(params object[] args)<br />{<br /> string[] Lawlesses={"=","'"};<br /> if(Lawlesses==null||Lawlesses.Length<=0)return true;<br /> //构造正则表达式,例
awlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相关内容请见MSDN)<br /> //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;<br /><br /> String str_Regex=".*[";<br /> for(int i=0;i< Lawlesses.Length-1;i++)<br /> str_Regex+=Lawlesses
+"|";<br /> str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";<br /> //<br /> foreach(object arg in args)<br /> {<br /> if(arg is string)//如果是字符串,直接检查<br /> {<br /> if(Regex.Matches(arg.ToString(),str_Regex).Count>0)<br /> return false;<br /> }<br /> else if(arg is ICollection)<br /> //如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查<br /> {<br /> foreach(object obj in (ICollection)arg)<br /> {<br /> if(obj is string)<br /> {<br /> if(Regex.Matches(obj.ToString(),str_Regex).Count>0)<br /> return false;<br /> }<br /> }<br /> }<br /> }<br /> return true;</div></div><br>还可以去看看动网的防注入代码,在这方面他应该是比较先进的拉,呵呵~~<br />大家应该还知道静态页面是无法注入的,索性全生成静态页面就可以了,既节省资源又有一定的安全保障还流行:)。但在SQL注入这方面也不能大意即使你的页面上没有一个动态页面的连接,也难免被各大搜索引擎的蜘蛛抓去。特别是那些源码公开的代码要及时做好防范,动易的print.asp就是一个例子,有些版本至今都可以注入。提供两个SQL注入的测试工具<br /><a href="http://maxgo.spymac.net/NBSI2.rar" target="_blank">http://maxgo.spymac.net/NBSI2.rar</a><br /><a href="http://maxgo.spymac.net/Domain3.0.rar" target="_blank">http://maxgo.spymac.net/Domain3.0.rar</a><br />2、对于那些有上传下载功能的网站、论坛,我的建议是除非必须,否则的话一律关掉,防止出现安全隐患。Serv-U是个不错的Ftp服务器,但曾经出现过非常严重的问题(可以通过远程溢出获得服务器最高权限),这方面记得及时更新,多多关注一下安全界的动态就可以了。<br /><br /> 服务器安全篇<br />其实,我做站多半时间都是在整服务器。我对服务器安全这方面特别敏感,也许是因为曾今在这方面栽过跟头。当时奉主管老师之命建立了一个面向教育网内的免费空间站,windows2000Server+serv-u 支持FSO,自动申请立即开通。短短的时间内人气极旺,我把几个好友作的站也放在了上面,直到有一天我发现好友文件夹下面的网站一个都不剩,网站申请程序也被删掉一空,只剩下一些无用的文件夹,当时我真晕了,马上停掉了所有的网站,只开通FTP供注册用户下载文件,把日志文件分析了半天,终于发现就两个文件在捣鬼,dir.asp file.asp,至今我还保留着,比起现在网页木马,功能特简单。哈哈,当初怎么就栽在他们手里了。好了,不废话了,就我所了解的谈谈服务器的安全设置吧,相信可以另80%黑客望而却步。<br />1、 FSO<br />网页木马主要是靠这个东东发挥威力,那么我们也就拿他来做文章。如果你的站点用不着FSO那么完全可以将它关闭具体方法:<br />在CMD命令行状态输入以下命令:<br />关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll<br />打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll<br />当然你也可以修改它,让他只为你一个人服务,但要记得修改两个地方<br />HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ <br />改名为其它的名字,如:改为FileSystemObject_ChangeName<br />也要将clsid值也改一下 <br />HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值<br />具体请参见 <a href="http://maxgo.blogchina.com/blog/article_40366.706205.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.706205.html</a><br />如果FSO是必须的那么请看 构建免受 FSO 威胁虚拟主机<br /><a href="http://maxgo.blogchina.com/blog/article_40366.897254.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.897254.html</a><br /> 2、操作系统安全<br />直接对操作系统进行渗透攻击的例子有很多,大多数多是根据已发现的系统漏洞然后编写出相应的exploit,通过exploit进行相应的渗透攻击。溢出攻击是一种常用的手段,防范的方法主要是及时的对操作系统进行安全更新,在服务器上尽量的少装或不装软件,如果要装的话一定也要记得更新。否则操作系统的安全设置作的再好也没用。我曾想渗透一台服务器,尝试了很多方法,嗅探也用上了,就是没有找到解决的办法,偶然的机会发现他的装了real server 8.0,呵呵~只需一个小小的工具就可以获得它的最高权限了。<br />3、防火墙问题<br /> 呵呵,其实防火墙之父都说了,WINDOWS的防火墙再厉害也不如Windows自带的组策略管用<br /> 那我们就来看看组策略是怎么设置的<br />使用IP策略阻止3389非法访问<a href="http://maxgo.blogchina.com/blog/article_40366.1139253.html" target="_blank">http://maxgo.blogchina.com/blog/article_40366.1139253.html</a><br />设置的方法就如上面的了,我们所要做的是阻断所有不必要端口的连接,只开通自己需要的的端口。<br /> 还有一些资料在搜集当中,希望能和大家好好交流<br /><br />[<i> Last edited by MaxGO on 2005-4-10 at 21:42 </i>]
欢迎光临 广告联盟网 (https://bbs.ggads.com/)
Powered by Discuz! X3.2