ASP.NET木馬安全解決方案

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　大家都知道網(wǎng)上出現(xiàn)過(guò)諸如《asp.net虛擬主機(jī)的重大隱患》等類似介紹Asp.Net的漏洞以及相應(yīng)的黑客攻擊辦法的文章，以及諸如Webadmin.aspx類Asp.Net的Webshell,如果您拿去到您的asp.net虛擬主機(jī)上測(cè)試時(shí)您就知道，這東東對(duì)C盤有讀取權(quán)限，以及對(duì)整個(gè)硬盤都有 修改、刪除權(quán)限;那這樣的話，我們的網(wǎng)站、我的服務(wù)器還有什么安全可言?在黑客頻頻攻擊的今天，我們不能不為我們的服務(wù)器而擔(dān)憂...

　　漏洞原因:大家知道ASP中常用的標(biāo)準(zhǔn)組件:FileSystemObject，這個(gè)組件為ASP提供了強(qiáng)大的文件系統(tǒng)訪問(wèn)能力，可以對(duì)服務(wù)器硬盤上的任何有權(quán)限的目錄 和文件進(jìn)行讀寫、刪除、改名等操作。FSO對(duì)象來(lái)自微軟提供的腳本運(yùn)行庫(kù)scrrun.dll中。而在Asp.Net中這個(gè)問(wèn)題仍然存在，并且更加難以解決;因?yàn)?Net中對(duì)系統(tǒng)IO操作功能更加強(qiáng)大,如：組件不再需要用Regsvr32來(lái)注冊(cè)，而是直接在bin目錄下就可以直接用了，所以這些功能對(duì)開(kāi)發(fā)Asp.Net程序有很大方便是，但卻使安全變得更為復(fù)雜了....

　　解決方案：

　　大家都知道，Asp類木馬可以通過(guò)對(duì)IIS中的虛擬主機(jī)采用獨(dú)立匿名用戶來(lái)控制FSO組件的安全，讓其只能在站類活動(dòng)，而不能跨站或者危害到其它硬盤的數(shù)據(jù)(注：如果您不明白可以參考一下本人以前的兩篇文章《FSO安全隱患解決辦法》; 《ASP木馬Webshell之安全防范解決辦法》) Asp的安全問(wèn)題與設(shè)置這里不再作討論，下面我們開(kāi)始著手Asp.Net木馬/WebShell防范方法的講解：

　　在IIS6.0中，WEB應(yīng)用程序的工作進(jìn)程為以進(jìn)程標(biāo)識(shí)“Network Service”運(yùn)行。而在IIS5.0中，進(jìn)程外WEB應(yīng)用程序則是以“IWAM_服務(wù)器名”用戶運(yùn)行行，這個(gè)User是普通的本地Guests用戶。網(wǎng)上有部份人提出針對(duì)此問(wèn)題用Microsoft .NET Framework Configration設(shè)置System.io的對(duì)目錄讀取的權(quán)限，但很遺憾經(jīng)過(guò)我們測(cè)試沒(méi)有成功，可能是.net framework1.1機(jī)制改了?

　　Network Service 是Windows Server 2003中的內(nèi)置帳戶。了解IIS5.0上的本地用戶帳戶(IUSR和IWAM)與這個(gè)內(nèi)置帳戶之間的區(qū)別是非常重要的。Windows操作系統(tǒng)中的所有帳戶都分配了一個(gè)SID(安全標(biāo)識(shí):Security ID)。服務(wù)器是根據(jù) SID，而不是與SID相關(guān)的名稱來(lái)識(shí)別服務(wù)器上所有帳戶的，而我們?cè)谂c用戶界面進(jìn)行交互時(shí)，則是使用名稱進(jìn)行交互的。服務(wù)器上創(chuàng)建的絕大部分帳戶都是本地帳戶，都具有一個(gè)唯一的 SID，用于標(biāo)識(shí)此帳戶隸屬于該服務(wù)器用戶數(shù)據(jù)庫(kù)的成員。由于SID只是相對(duì)于服務(wù)器是唯一的，因此它在任何其他系統(tǒng)上無(wú)效。所以，如果您為本地帳戶分配了針對(duì)某文件或文件夾的 NTFS 權(quán)限，然后將該文件及其權(quán)限復(fù)制到另一臺(tái)計(jì)算機(jī)上時(shí)，目標(biāo)計(jì)算機(jī)上并沒(méi)有針對(duì)這個(gè)遷移SID的用戶帳戶，即使其上有一個(gè)同名帳戶也是如此。這使得包含NTFS權(quán)限的內(nèi)容復(fù)制可能出現(xiàn)問(wèn)題。內(nèi)置帳戶是由操作系統(tǒng)創(chuàng)建的、一類較為特別的帳戶 或組，例如System帳戶、Network Service和Everyone 組。這些對(duì)象的重要特征之一就是，它們?cè)谒邢到y(tǒng)上都擁有一個(gè)相同的、眾所周知的SID。當(dāng)將分配了NTFS權(quán)限的文件復(fù)制到內(nèi)置帳戶時(shí)，權(quán)限在服務(wù)器之間是有效的，因?yàn)閮?nèi)置帳戶的SID在所有服務(wù)器上都是相同的。Windows Server 2003 服務(wù)中的 Network Service 帳戶是特別設(shè)計(jì)的，專用于為應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)的足夠權(quán)限，而且在IIS 6.0中，無(wú)需提升權(quán)限即可運(yùn)行Web 應(yīng)用程序。這對(duì)于IIS安全性來(lái)說(shuō)，是一個(gè)特大的消息，因?yàn)椴淮嬖诰彌_溢出，懷有惡意的應(yīng)用程序無(wú)法破譯進(jìn)程標(biāo)識(shí)，或是對(duì)應(yīng)用程序的攻擊不能進(jìn)入System用戶環(huán)境。更為重要的一點(diǎn)是，再也不能形成針對(duì)System帳戶的“后門”，例如，再也無(wú)法通InProcessIsapiApps元數(shù)據(jù)庫(kù)項(xiàng)利用加載到Inetinfo的應(yīng)用程序。我們已經(jīng)簡(jiǎn)單的介紹了一下ASP.NET中關(guān)于文件IO系統(tǒng)的漏洞的防治方法，這一方法有些繁瑣，但是卻可以從根本上杜絕一些漏洞，我們討論的只是很少的一部分，更多的解決放法需要大家共同來(lái)探索、學(xué)習(xí)。