MicrosoftActiveServerPages

1、 Microsoft Active Server Pages (ASP)是服务器端脚本编写环境，使用它可以创建和运行动态、交互的Web服务器 应用程序。使用ASP可以组合 HTML页、脚本命令和 ActiveX组件以创建交互的 Web页和基于 Web的功能 强大的应用程序。 现在很多网站特别是电子商务方面的网站，在前台上大都用ASP来实现。以至于现在 ASP在网站应用上很普遍。 ASP是开发网站应用的快速工具，但是有些网站管理员只看到ASP的快速开发能力，却忽视了 ASP安全问题。ASP 从一开始就一直受到众多漏洞，后门的困扰，包括%81的噩梦，密码验证问题，IIS漏洞等等都一直使 ASP网站

2、开 发人员心惊胆跳。 本文试图从开放了 ASP服务的操作系统漏洞和ASP程序本身漏洞，阐述ASP安全问题，并给出解决方法或者建议。 ASP工作机理 Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效 果。在讨论ASP的安全性问题之前，让我们来看看ASP是怎么工作的。ASP脚本是采用明文(plain text)方式来 编写的。 ASP脚本是一系列按特定语法(目前支持vbscript和jscript两种脚本语言)编写的，与标准 HTML页面混合在一起 的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERN

3、ET来访问基于 ASP脚本的应 用时，WEB浏览器将向 WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后，自 动通过ISAPI接口调用 ASP脚本的解释运行引擎(ASP.DLL )。ASP.DLL将从文件系统或内部缓冲区获取指定的 ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容，通过 WEB服务器” 原路返回给 WEB浏览器，由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。 若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。 让我们来看看运行ASP所需的环境： Microsoft I

4、n ternet In formation Server 3.0/4.0/5.0 on NT Server Microsoft In ternet In formation Server 3.0/4.0/5.0 on Win2000 Microsoft Perso nal Web Server on Win dows 95/98 WINDOWS NT Option Pack 所带的Microsoft IIS 提供了强大的功能，但是IIS在网络安全方面却是比较危险的。因 为很少有人会用 Windows 95/98当服务器，因此本文我更多的从NT中的IIS安全问题来探讨。 微软自称的ASP的安全优

5、点 虽然我们本文的重点是探讨 ASP漏洞和后门，但是有必要谈谈 ASP在网络安全方面的”优点”，之所以加个，是因 为有时这些微软宣称的”优点恰恰是其安全隐犯。微软称 ASP在网络安全方面一大优点就是用户不能看到 ASP的 源程序， 从ASP的原理上看，ASP在服务端执行并解释成标准的HTML语句，再传送给客户端浏览器。屏蔽源程序能很 好的维护ASP开发人员的版权，试想你辛辛苦苦做了一个很优秀的程序，给人任意COPY，你会怎么想？而且黑客 还能分析你的 ASP程序，挑出漏洞。更重要的是有些ASP开发者喜欢把密码，有特权的用户名和路径直接写在程 序中，这样别人通过猜密码，猜路径，很容易找到攻击系统

6、的”入口 ”。但是目前已经发现了很多能查看ASP源程序 的漏洞，后面我们还要讨论。 IIS支持虚拟目录，通过在”服务器属性对话框中的目录标签可以管理虚拟目录。建立虚拟目录对于管理WEB站 点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择查看源 这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，你就可以在不对页面代码做任何改动的情况 下，将 WEB页面从一台机器上移到另一台机器。还有就是，当你将 WEB页面放置于虚拟目录下后，你可以对目 录设置不同的属性，如：Read、Excute、Script。读访问表示将目录内容从 IIS传递到浏览器。

7、而执行访问则可以使 在该目录内执行可执行的文件。当你需要使用ASP时，就必须将你存放.asp文件的目录设置为Excute （执行）” 建议大家在设置 WEB站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为 读”，将ASP子目录设置为执行”，这不仅方便了对 WEB的管理，而且最重要的提高了ASP程序的安全性，防止 了程序内容被客户所访问。 ASP漏洞分析和解决方法 有人说一台不和外面联系的电脑是最安全的电脑，一个关闭所有端口，不提供任何服务的电脑也是最安全的。黑客 经常利用我们所开放的端口实施攻击，这些攻击最常见的是DDOS （拒绝服务攻击）下面我会列出 AS

8、P的二十几 个漏洞，每个漏洞都会有漏洞描述和解决方法。 1在ASP程序后加个特殊符号，能看到ASP源程序 受影响的版本： win 95+pws IIS3.0 98+pws4不存在这个漏洞。 IIS4.0以上的版本也不存在这个漏洞。 问题描述： 这些特殊符号包括小数点，81, :$DA TA。比如： http:/someurl/somepage.asp. http:/ someurl/somepage.asp%81 http:/ someurl/somepage.asp:$DA TA http:/ someurl/somepage.asp %2e http:/ someurl/somepage

9、%2e%41sp http:/ someurl/somepage%2e%asp http:/ someurl/somepage.asp %2e http:/someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/././././././boot.ini （可以看到 boot.ini 的文 件内容） 那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可 怕的漏洞呢？究其根源其实是Windows NT特有的文件系统在做怪。有一点常识的人都知道在NT提供

10、了一种完 全不同于FAT的文件系统：NTFS，这种被称之为新技术文件系统的技术使得NT具有了较高的安全机制，但也 正是因为它而产生了不少令人头痛的隐患。大家可能不知道，NTFS支持包含在一个文件中的多数据流，而这个 包含了所有内容的主数据流被称之为DATA，因此使得在浏览器里直接访问NTFS系统的这个特性而轻易的捕 获在文件中的脚本程序成为了可能。然而 直接导致:$DATA的原因是由于IIS在解析文件名的时候出了问题，它 没有很好地规范文件名。 解决方法和建议: 如果是 Winodws NT用户，安装IIS4.0或者IIS5.0, Windows2000不存在这个问题。如果是 win95用户，

11、安装 WIN98 和 PWS4.0。 2 ACCESS mdb数据库有可能被下载的漏洞 问题描述： 在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库 名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。比如：如果你的ACCESS数据库book.mdb放 在虚拟目录下的database目录下，那么有人在浏览器中打入： http:/ someurl/database/book.mdb 如果你的book.mdb数据库没有事先加密的话，那book.mdb中所有重要的数据都掌握在别人的手中。 解决方法： 为你的数据库文件名称起个复杂的

12、非常规的名字，并把他放在几目录下。所谓非常规”，打个比方：比如有个 数据库要保存的是有关书籍的信息，可不要把他起个book.mdb的名字，起个怪怪的名称，比如d34ksfslf.mdb，再 把他放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难 了。 (2) 不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如： DBPath = Server.M apPath(cmddb.mdb) conn. Open driver=Microsoft Access Driver (*.mdb);dbq= Pwd=yfdsfs p

13、aram=para mdbq= How many loved your mome nts of glad grace, And loved your beauty with love false or true, But one man loved the pilgrim soul in you. And loved the sorrows of your cha nging face; And bending dow n beside the glow ing bars, Murmur, a little sadly, how love fled And paced upon the mou

14、ntains overhead And hid his face amid a crowd of stars. The furthest dista nee in the world Is not betwee n life and death But whe n I sta nd in front of you Yet you dont know that I love you. The furthest dista nee in the world Is not whe n I sta nd in front of you Yet you cant see my love But whe

15、n un doubtedly knowing the love from both Yet cannot be together. The furthest dista nee in the world Is not being apart while being in love But whe n I pla inly cannot resist the year ning Yet prete nding you have n ever bee n in my heart. The furthest dista nee in the world Is not struggli ng aga

16、inst the tides But using on es in differe nt heart To dig an un crossable river For the one who loves you. 倚窗远眺，目光目光尽处必有一座山，那影影绰绰的黛绿色的影，是春天的颜色。周遭流岚升腾， 没露出那真实的面孔。面对那流转的薄雾，我会幻想，那里有一个世外桃源。在天阶夜色凉如水的夏 夜，我会静静地，静静地，等待一场流星雨的来临 许下一个愿望，不乞求去实现，至少，曾经，有那么一刻，我那还未枯萎的，青春的，诗意的心， 在我最美的年华里，同星空做了一次灵魂的交流 秋日里，阳光并不刺眼，天空是一碧如洗的蓝，点缀着飘逸的流云。偶尔，一片飞舞的落叶，会 飘到我的窗前。斑驳的印迹里，携刻着深秋的颜色。在一个落雪的晨，这纷纷扬扬的雪，飘落着一如 千年前的洁白。窗外，是未被污染的银白色世界。我会去迎接，这人间的圣洁。在这流转的岁月里， 有着流转的四季，还有一颗流转的心，亘古不变的心。 倚窗远眺，目光目光尽处必有一座山，那影影绰绰的黛绿色的影，是春天的颜色。周遭流岚升腾， 没露出那真实的面孔。面对那流转的薄雾，我会幻想，那里有一个