ASP.NET木馬安全解決方案

申請免費(fèi)試用、咨詢電話：400-8352-114

　　大家都知道網(wǎng)上出現(xiàn)過諸如《asp.net虛擬主機(jī)的重大隱患》等類似介紹Asp.Net的漏洞以及相應(yīng)的黑客攻擊辦法的文章，以及諸如Webadmin.aspx類Asp.Net的Webshell,如果您拿去到您的asp.net虛擬主機(jī)上測試時您就知道，這東東對C盤有讀取權(quán)限，以及對整個硬盤都有 修改、刪除權(quán)限;那這樣的話，我們的網(wǎng)站、我的服務(wù)器還有什么安全可言?在黑客頻頻攻擊的今天，我們不能不為我們的服務(wù)器而擔(dān)憂...

　　漏洞原因:大家知道ASP中常用的標(biāo)準(zhǔn)組件:FileSystemObject，這個組件為ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力，可以對服務(wù)器硬盤上的任何有權(quán)限的目錄 和文件進(jìn)行讀寫、刪除、改名等操作。FSO對象來自微軟提供的腳本運(yùn)行庫scrrun.dll中。而在Asp.Net中這個問題仍然存在，并且更加難以解決;因為.Net中對系統(tǒng)IO操作功能更加強(qiáng)大,如：組件不再需要用Regsvr32來注冊，而是直接在bin目錄下就可以直接用了，所以這些功能對開發(fā)Asp.Net程序有很大方便是，但卻使安全變得更為復(fù)雜了....

　　解決方案：

　　大家都知道，Asp類木馬可以通過對IIS中的虛擬主機(jī)采用獨(dú)立匿名用戶來控制FSO組件的安全，讓其只能在站類活動，而不能跨站或者危害到其它硬盤的數(shù)據(jù)(注：如果您不明白可以參考一下本人以前的兩篇文章《FSO安全隱患解決辦法》; 《ASP木馬Webshell之安全防范解決辦法》) Asp的安全問題與設(shè)置這里不再作討論，下面我們開始著手Asp.Net木馬/WebShell防范方法的講解：

　　在IIS6.0中，WEB應(yīng)用程序的工作進(jìn)程為以進(jìn)程標(biāo)識“Network Service”運(yùn)行。而在IIS5.0中，進(jìn)程外WEB應(yīng)用程序則是以“IWAM_服務(wù)器名”用戶運(yùn)行行，這個User是普通的本地Guests用戶。網(wǎng)上有部份人提出針對此問題用Microsoft .NET Framework Configration設(shè)置System.io的對目錄讀取的權(quán)限，但很遺憾經(jīng)過我們測試沒有成功，可能是.net framework1.1機(jī)制改了?

　　Network Service 是Windows Server 2003中的內(nèi)置帳戶。了解IIS5.0上的本地用戶帳戶(IUSR和IWAM)與這個內(nèi)置帳戶之間的區(qū)別是非常重要的。Windows操作系統(tǒng)中的所有帳戶都分配了一個SID(安全標(biāo)識:Security ID)。服務(wù)器是根據(jù) SID，而不是與SID相關(guān)的名稱來識別服務(wù)器上所有帳戶的，而我們在與用戶界面進(jìn)行交互時，則是使用名稱進(jìn)行交互的。服務(wù)器上創(chuàng)建的絕大部分帳戶都是本地帳戶，都具有一個唯一的 SID，用于標(biāo)識此帳戶隸屬于該服務(wù)器用戶數(shù)據(jù)庫的成員。由于SID只是相對于服務(wù)器是唯一的，因此它在任何其他系統(tǒng)上無效。所以，如果您為本地帳戶分配了針對某文件或文件夾的 NTFS 權(quán)限，然后將該文件及其權(quán)限復(fù)制到另一臺計算機(jī)上時，目標(biāo)計算機(jī)上并沒有針對這個遷移SID的用戶帳戶，即使其上有一個同名帳戶也是如此。這使得包含NTFS權(quán)限的內(nèi)容復(fù)制可能出現(xiàn)問題。內(nèi)置帳戶是由操作系統(tǒng)創(chuàng)建的、一類較為特別的帳戶 或組，例如System帳戶、Network Service和Everyone 組。這些對象的重要特征之一就是，它們在所有系統(tǒng)上都擁有一個相同的、眾所周知的SID。當(dāng)將分配了NTFS權(quán)限的文件復(fù)制到內(nèi)置帳戶時，權(quán)限在服務(wù)器之間是有效的，因為內(nèi)置帳戶的SID在所有服務(wù)器上都是相同的。Windows Server 2003 服務(wù)中的 Network Service 帳戶是特別設(shè)計的，專用于為應(yīng)用程序提供訪問網(wǎng)絡(luò)的足夠權(quán)限，而且在IIS 6.0中，無需提升權(quán)限即可運(yùn)行Web 應(yīng)用程序。這對于IIS安全性來說，是一個特大的消息，因為不存在緩沖溢出，懷有惡意的應(yīng)用程序無法破譯進(jìn)程標(biāo)識，或是對應(yīng)用程序的攻擊不能進(jìn)入System用戶環(huán)境。更為重要的一點(diǎn)是，再也不能形成針對System帳戶的“后門”，例如，再也無法通InProcessIsapiApps元數(shù)據(jù)庫項利用加載到Inetinfo的應(yīng)用程序。我們已經(jīng)簡單的介紹了一下ASP.NET中關(guān)于文件IO系統(tǒng)的漏洞的防治方法，這一方法有些繁瑣，但是卻可以從根本上杜絕一些漏洞，我們討論的只是很少的一部分，更多的解決放法需要大家共同來探索、學(xué)習(xí)。