MaxGO 发表于 2005-4-10 21:36kpj中国域名交易资讯网
建站安全心得(草)未完
网站安全方面 kpj中国域名交易资讯网
1、首先从前段时间玩得比较火的SQL注入开始。其实早在2001年SQL注入就已经有牛人在用了,而且是在国内一个比较著名的安全论坛,据说数据全被删了,损失惨重。可见SQL注入是一个危害比较严重的漏洞。SQL注入真正火起来应该在2004年,特别是当NB的注入工具出来之后,SQL注入攻击随处可见,就算是菜鸟都可以简易上手,轻松改掉被人的网页。好了闲话少说,看看具体的入侵实例:kpj中国域名交易资讯网
[url]http://maxgo.spymac.net/jiaocheng/sql.chm[/url]kpj中国域名交易资讯网
知道了别人如何入侵,防范起来就容易多了。我们需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。需要过滤的特殊字符及字符串有:kpj中国域名交易资讯网
net userkpj中国域名交易资讯网
xp_cmdshellkpj中国域名交易资讯网
/addkpj中国域名交易资讯网
exec master.dbo.xp_cmdshellkpj中国域名交易资讯网
net localgroup administratorskpj中国域名交易资讯网
selectkpj中国域名交易资讯网
countkpj中国域名交易资讯网
Asckpj中国域名交易资讯网
charkpj中国域名交易资讯网
midkpj中国域名交易资讯网
'kpj中国域名交易资讯网
:kpj中国域名交易资讯网
"kpj中国域名交易资讯网
insertkpj中国域名交易资讯网
delete fromkpj中国域名交易资讯网
drop tablekpj中国域名交易资讯网
updatekpj中国域名交易资讯网
truncatekpj中国域名交易资讯网
fromkpj中国域名交易资讯网
%kpj中国域名交易资讯网
下面是我从网上摘选的两种关于解决注入式攻击的防范代码,供大家学习参考!kpj中国域名交易资讯网
kpj中国域名交易资讯网
kpj中国域名交易资讯网
[code]js版的防范SQL注入式攻击代码~:kpj中国域名交易资讯网
kpj中国域名交易资讯网
[CODE START] kpj中国域名交易资讯网
<script language="javascript">kpj中国域名交易资讯网
<!--kpj中国域名交易资讯网
var url = location.search;kpj中国域名交易资讯网
var re=/^/?(.*)(select%20|insert%20|delete%20from%20|count/(|drop%20tablekpj中国域名交易资讯网
|update%20truncate%20|asc/(|mid/(|char/(|xp_cmdshell|exec%20masterkpj中国域名交易资讯网
|net%20localgroup%20administrators|/"|:|net%20user|/'|%20or%20)(.*)$/gi;kpj中国域名交易资讯网
var e = re.test(url);kpj中国域名交易资讯网
if(e) {kpj中国域名交易资讯网
alert("地址中含有非法字符~");kpj中国域名交易资讯网
location.href="error.asp";kpj中国域名交易资讯网
}kpj中国域名交易资讯网
//-->kpj中国域名交易资讯网
<script> kpj中国域名交易资讯网
[CODE END]kpj中国域名交易资讯网
asp版的防范SQL注入式攻击代码~:kpj中国域名交易资讯网
kpj中国域名交易资讯网
[CODE START]kpj中国域名交易资讯网
<%kpj中国域名交易资讯网
On Error Resume Nextkpj中国域名交易资讯网
Dim strTempkpj中国域名交易资讯网
kpj中国域名交易资讯网
If LCase(Request.ServerVariables("HTTPS")) = "off" Thenkpj中国域名交易资讯网
strTemp = "http://"kpj中国域名交易资讯网
Elsekpj中国域名交易资讯网
strTemp = "https://"kpj中国域名交易资讯网
End Ifkpj中国域名交易资讯网
kpj中国域名交易资讯网
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")kpj中国域名交易资讯网
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")kpj中国域名交易资讯网
kpj中国域名交易资讯网
strTemp = strTemp & Request.ServerVariables("URL")kpj中国域名交易资讯网
kpj中国域名交易资讯网
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)kpj中国域名交易资讯网
kpj中国域名交易资讯网
strTemp = LCase(strTemp)kpj中国域名交易资讯网
kpj中国域名交易资讯网
If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") thenkpj中国域名交易资讯网
Response.Write "<script language='javascript'>"kpj中国域名交易资讯网
Response.Write "alert('非法地址!!');"kpj中国域名交易资讯网
Response.Write "location.href='error.asp';"kpj中国域名交易资讯网
Response.Write "<script>"kpj中国域名交易资讯网
End Ifkpj中国域名交易资讯网
%>kpj中国域名交易资讯网
[CODE END]kpj中国域名交易资讯网
C# 检查字符串,防SQL注入攻击kpj中国域名交易资讯网
kpj中国域名交易资讯网
这个例子里暂定为=号和'号kpj中国域名交易资讯网
kpj中国域名交易资讯网
bool CheckParams(params object[] args)kpj中国域名交易资讯网
{kpj中国域名交易资讯网
string[] Lawlesses={"=","'"};kpj中国域名交易资讯网
if(Lawlesses==null||Lawlesses.Length<=0)return true;kpj中国域名交易资讯网
//构造正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相关内容请见MSDN)kpj中国域名交易资讯网
//另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;kpj中国域名交易资讯网
kpj中国域名交易资讯网
String str_Regex=".*[";kpj中国域名交易资讯网
for(int i=0;i< Lawlesses.Length-1;i++)kpj中国域名交易资讯网
str_Regex+=Lawlesses[i]+"|";kpj中国域名交易资讯网
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";kpj中国域名交易资讯网
//kpj中国域名交易资讯网
foreach(object arg in args)kpj中国域名交易资讯网
{kpj中国域名交易资讯网
if(arg is string)//如果是字符串,直接检查kpj中国域名交易资讯网
{kpj中国域名交易资讯网
if(Regex.Matches(arg.ToString(),str_Regex).Count>0)kpj中国域名交易资讯网
return false;kpj中国域名交易资讯网
}kpj中国域名交易资讯网
else if(arg is ICollection)kpj中国域名交易资讯网
//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查kpj中国域名交易资讯网
{kpj中国域名交易资讯网
foreach(object obj in (ICollection)arg)kpj中国域名交易资讯网
{kpj中国域名交易资讯网
if(obj is string)kpj中国域名交易资讯网
{kpj中国域名交易资讯网
if(Regex.Matches(obj.ToString(),str_Regex).Count>0)kpj中国域名交易资讯网
return false;kpj中国域名交易资讯网
}kpj中国域名交易资讯网
}kpj中国域名交易资讯网
}kpj中国域名交易资讯网
}kpj中国域名交易资讯网
return true;kpj中国域名交易资讯网
kpj中国域名交易资讯网
[/code]还可以去看看动网的防注入代码,在这方面他应该是比较先进的拉,呵呵~~kpj中国域名交易资讯网
大家应该还知道静态页面是无法注入的,索性全生成静态页面就可以了,既节省资源又有一定的安全保障还流行:)。但在SQL注入这方面也不能大意即使你的页面上没有一个动态页面的连接,也难免被各大搜索引擎的蜘蛛抓去。特别是那些源码公开的代码要及时做好防范,动易的print.asp就是一个例子,有些版本至今都可以注入。提供两个SQL注入的测试工具kpj中国域名交易资讯网
[url]http://maxgo.spymac.net/NBSI2.rar[/url]kpj中国域名交易资讯网
[url]http://maxgo.spymac.net/Domain3.0.rar[/url]kpj中国域名交易资讯网
2、对于那些有上传下载功能的网站、论坛,我的建议是除非必须,否则的话一律关掉,防止出现安全隐患。Serv-U是个不错的Ftp服务器,但曾经出现过非常严重的问题(可以通过远程溢出获得服务器最高权限),这方面记得及时更新,多多关注一下安全界的动态就可以了。kpj中国域名交易资讯网
kpj中国域名交易资讯网
服务器安全篇kpj中国域名交易资讯网
其实,我做站多半时间都是在整服务器。我对服务器安全这方面特别敏感,也许是因为曾今在这方面栽过跟头。当时奉主管老师之命建立了一个面向教育网内的免费空间站,windows2000Server+serv-u 支持FSO,自动申请立即开通。短短的时间内人气极旺,我把几个好友作的站也放在了上面,直到有一天我发现好友文件夹下面的网站一个都不剩,网站申请程序也被删掉一空,只剩下一些无用的文件夹,当时我真晕了,马上停掉了所有的网站,只开通FTP供注册用户下载文件,把日志文件分析了半天,终于发现就两个文件在捣鬼,dir.asp file.asp,至今我还保留着,比起现在网页木马,功能特简单。哈哈,当初怎么就栽在他们手里了。好了,不废话了,就我所了解的谈谈服务器的安全设置吧,相信可以另80%黑客望而却步。kpj中国域名交易资讯网
1、 FSOkpj中国域名交易资讯网
网页木马主要是靠这个东东发挥威力,那么我们也就拿他来做文章。如果你的站点用不着FSO那么完全可以将它关闭具体方法:kpj中国域名交易资讯网
在CMD命令行状态输入以下命令:kpj中国域名交易资讯网
关闭命令:RegSvr32 /u C:/WINNT/SYSTEM32/scrrun.dllkpj中国域名交易资讯网
打开命令:RegSvr32 C:/WINNT/SYSTEM32/scrrun.dllkpj中国域名交易资讯网
当然你也可以修改它,让他只为你一个人服务,但要记得修改两个地方kpj中国域名交易资讯网
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/ kpj中国域名交易资讯网
改名为其它的名字,如:改为FileSystemObject_ChangeNamekpj中国域名交易资讯网
也要将clsid值也改一下 kpj中国域名交易资讯网
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值kpj中国域名交易资讯网
具体请参见 [url]http://maxgo.blogchina.com/blog/article_40366.706205.html[/url]kpj中国域名交易资讯网
如果FSO是必须的那么请看 构建免受 FSO 威胁虚拟主机kpj中国域名交易资讯网
[url]http://maxgo.blogchina.com/blog/article_40366.897254.html[/url]kpj中国域名交易资讯网
2、操作系统安全kpj中国域名交易资讯网
直接对操作系统进行渗透攻击的例子有很多,大多数多是根据已发现的系统漏洞然后编写出相应的exploit,通过exploit进行相应的渗透攻击。溢出攻击是一种常用的手段,防范的方法主要是及时的对操作系统进行安全更新,在服务器上尽量的少装或不装软件,如果要装的话一定也要记得更新。否则操作系统的安全设置作的再好也没用。我曾想渗透一台服务器,尝试了很多方法,嗅探也用上了,就是没有找到解决的办法,偶然的机会发现他的装了real server 8.0,呵呵~只需一个小小的工具就可以获得它的最高权限了。kpj中国域名交易资讯网
3、防火墙问题kpj中国域名交易资讯网
呵呵,其实防火墙之父都说了,WINDOWS的防火墙再厉害也不如Windows自带的组策略管用kpj中国域名交易资讯网
那我们就来看看组策略是怎么设置的kpj中国域名交易资讯网
使用IP策略阻止3389非法访问[url]http://maxgo.blogchina.com/blog/article_40366.1139253.html[/url]kpj中国域名交易资讯网
设置的方法就如上面的了,我们所要做的是阻断所有不必要端口的连接,只开通自己需要的的端口。kpj中国域名交易资讯网
还有一些资料在搜集当中,希望能和大家好好交流kpj中国域名交易资讯网
kpj中国域名交易资讯网
[[i] Last edited by MaxGO on 2005-4-10 at 21:42 [/i]]kpj中国域名交易资讯网
kpj中国域名交易资讯网
