網(wǎng)絡(luò)上的SQL Injection 漏洞利用攻擊，JS腳本，HTML腳本攻擊似乎逾演逾烈。陸續(xù)的很多站點(diǎn)都被此類攻擊所困擾，并非像主機(jī)漏洞那樣可以當(dāng)即修復(fù)，來(lái)自于WEB的攻擊方式使我們?cè)诜婪痘蛘呤切迯?fù)上都帶來(lái)了很大的不便。一個(gè)站長(zhǎng)最大的痛苦莫過(guò)于此。自己的密碼如何如何強(qiáng)壯卻始終被攻擊者得到，但如何才能做到真正意義上的安全呢？第一，別把密碼和你的生活聯(lián)系起來(lái)；第二，Supermaster的PWD最好只有你自己知道；第三，絕對(duì)要完善好你的網(wǎng)站程序。然而怎樣才能完善，這將是我們此文的最終目的?！　“踩雷o(hù)，如何做到安全防護(hù)？想要防護(hù)就要知道對(duì)方是如何進(jìn)行攻擊。有很多文章都在寫如何攻下某站點(diǎn)，其實(shí)其攻擊的途徑也不過(guò)是以下幾種：

　　1. 簡(jiǎn)單的腳本攻擊

　　此類攻擊應(yīng)該屬于無(wú)聊搗亂吧。比如****:alert(); [/table]等等，由于程序上過(guò)濾的不嚴(yán)密，使攻擊者既得不到什么可用的，但又使的他可以進(jìn)行搗亂的目的。以目前很多站點(diǎn)的免費(fèi)服務(wù)，或者是自身站點(diǎn)的程序上也是有過(guò)濾不嚴(yán)密的問(wèn)題。

　　2. 危險(xiǎn)的腳本攻擊

　　這類腳本攻擊已經(jīng)過(guò)度到可以竊取管理員或者是其他用戶信息的程度上了。比如大家都知道的cookies竊取，利用腳本對(duì)客戶端進(jìn)行本地的寫操作等等。

　　3. Sql Injection 漏洞攻擊

　　可以說(shuō)，這個(gè)攻擊方式是從動(dòng)網(wǎng)論壇和BBSXP開始的。利用SQL特殊字符過(guò)濾的不嚴(yán)密，而對(duì)數(shù)據(jù)庫(kù)進(jìn)行跨表查詢的攻擊。比如：


　　得到了管理員的密碼也就意味著已經(jīng)控制的整站，雖然不一定能得到主機(jī)的權(quán)限，但也為這一步做了很大的鋪墊。類似的SQL Injection攻擊的方式方法很多，對(duì)不同的文件過(guò)濾不嚴(yán)密所采取的查詢方式也不同。所以說(shuō)想做好一個(gè)完整的字符過(guò)濾程序不下一凡功夫是不可能的。
　　4. 遠(yuǎn)程注入攻擊
　　某站點(diǎn)的所謂的過(guò)濾只是在提交表格頁(yè)上進(jìn)行簡(jiǎn)單的JS過(guò)濾。對(duì)于一般的用戶來(lái)說(shuō)，你大可不必防范；對(duì)早有預(yù)謀的攻擊者來(lái)說(shuō)，這樣的過(guò)濾似乎根本沒(méi)作用。我們常說(shuō)的POST攻擊就是其中一例。通過(guò)遠(yuǎn)程提交非法的信息以達(dá)到攻擊目的。
　　通過(guò)上面的攻擊方法的介紹，我們大致的了解了攻擊者的攻擊途徑，下面我們就開始重點(diǎn)的介紹，如何有效的防范腳本攻擊！
　　讓我們還是從最簡(jiǎn)單的開始：
　　防范腳本攻擊
　　JS腳本 和HTML腳本攻擊的防范其實(shí)很簡(jiǎn)單：server.HTMLEncode（Str）完事。當(dāng)然你還不要大叫，怎么可能？你讓我把全站類似都加過(guò)濾我還不累死？為了方便的過(guò)濾，我們只需要將HTML腳本和JS腳本中的幾個(gè)關(guān)鍵字符過(guò)濾掉就可以了：程序體（1）如下：


使用Include把函數(shù)寫在公有頁(yè)面上，這樣效率是最好的。
程序體（1）
　　另外，值得我們注意的是，很多站點(diǎn)在用戶注冊(cè)，或者是用戶資料修改的頁(yè)面上也缺少腳本的過(guò)濾，或者是只在其中之一進(jìn)行過(guò)濾，注冊(cè)進(jìn)入后修改資料仍然可以進(jìn)行腳本攻擊。對(duì)用戶提交的數(shù)據(jù)進(jìn)行檢測(cè)和過(guò)濾，程序體（2） 如下：
　

　　程序體（7）
　　為什么我們這里以及過(guò)濾了單引號(hào)，怎么還要再次取一個(gè)長(zhǎng)度限制呢？不多說(shuō)了，看看4ngel的文章先8 then ' 為什么取長(zhǎng)度上面程序中已經(jīng)說(shuō)明


　　程序體(8)
　　由于我個(gè)人的編程習(xí)慣，我喜歡將所有的數(shù)據(jù)檢驗(yàn)程序全部保留到整站的公用程序中，比如:conn.asp啦，只需要寫一次就可以修復(fù)全站的問(wèn)題.
　　說(shuō)到這里，我提一點(diǎn)關(guān)于攻擊的問(wèn)題，就是跑用戶密碼或者是用戶名，一般常用的就是
　　....../show.asp?id=1 and 0(select count(*) from admin where id=3 and left(username，1)='a')
　　這樣去一個(gè)一個(gè)嘗試，當(dāng)然我們不能在這里提什么Perl程序去跑密碼，程序是別人寫，要自己知道原理.這里我只是想給個(gè)比較方便的辦法就是取ASC碼范圍.這個(gè)要比單獨(dú)跑要快很多.不論是是字母，數(shù)字，漢字，特殊字符，他們總會(huì)有對(duì)應(yīng)的ASC碼，用以下辦法:
　　....../show.asp?id=1 and 0(select count(*) from admin where id=3 and asc(right(left(username
　　e，3)，1)) between 1 and 10000) 剩下的就隨你了，一般的從97到122就可以啦，字母嘛，很快D.呵呵，有人想用mid 函數(shù)當(dāng)然也是不錯(cuò) asc(mid(username，2，1)) between 1 and 10000 也成.
　　如何更加有效的防止SQL注入攻擊?我們將在下面的文章中具體提到!
　　防范遠(yuǎn)程注入攻擊
　　這類攻擊在以前應(yīng)該是比較常見的攻擊方式，比如POST攻擊，攻擊者可以隨便的改變要提交的數(shù)據(jù)值已達(dá)到攻擊目的.又如:COOKIES 的偽造，這一點(diǎn)更值得引起程序編寫者或站長(zhǎng)的注意，不要使用COOKIES來(lái)做為用戶驗(yàn)證的方式，否則你和把鑰匙留給賊是同一個(gè)道理.
　　比如:
　　If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd")
　　="fqy#e3i5.com" then
　　........more.........
　　End if
　　我想各位站長(zhǎng)或者是喜好寫程序的朋友千萬(wàn)別出這類錯(cuò)誤，真的是不可饒恕.偽造COOKIES 都多少年了，你還用這樣的就不能怪別人跑你的密碼.涉及到用戶密碼或者是用戶登陸時(shí)，你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一個(gè)信息，SessionID，它的隨機(jī)值是64位的，要猜解它，不可能.例:
　　if not (rs.BOF or rs.eof) then
　　login="true"
　　Session("username"&sessionID) = Username
　　Session("password"& sessionID) = Password
　　'Response.cookies("username")= Username
　　'Response.cookies("Password")= Password
　　下面我們來(lái)談?wù)勅绾畏婪哆h(yuǎn)程注入攻擊，一般的攻擊都是將單表提交文件拖到本地，將Form ACTION="chk.asp" 指向你服務(wù)器中處理數(shù)據(jù)的文件即可.如果你全部的數(shù)據(jù)過(guò)濾都在單表頁(yè)上，那么恭喜你，你將已經(jīng)被腳本攻擊了.
　　怎么才能制止這樣的遠(yuǎn)程攻擊?好辦，請(qǐng)看代碼如下: 程序體(9)
　　
　　'個(gè)人感覺(jué)上面的代碼過(guò)濾不是很好，有一些外部提交竟然還能堂堂正正的進(jìn)來(lái)，于是再寫一個(gè).
　　'這個(gè)是過(guò)濾效果很好，建議使用.

　　

程序體(9)
本以為這樣就萬(wàn)事大吉了，在表格頁(yè)上加一些限制，比如maxlength啦，等等..但天公就是那么不作美，你越怕什么他越來(lái)什么.你別忘了，攻擊者可以突破sql注入攻擊時(shí)輸入框長(zhǎng)度的限制.寫一個(gè)SOCKET程序改變HTTP_REFERER？我不會(huì)。網(wǎng)上發(fā)表了這樣一篇文章：


用法:先把len.reg導(dǎo)入注冊(cè)表(注意文件路徑)
然后把len.htm拷到注冊(cè)表中指定的地方.
打開網(wǎng)頁(yè)，光標(biāo)放在要改變長(zhǎng)度的輸入框上點(diǎn)右鍵，看多了一個(gè)叫擴(kuò)展的選項(xiàng)了吧
單擊搞定! 后記:同樣的也就可以對(duì)付那些限制輸入內(nèi)容的腳本了.
怎么辦？我們的限制被饒過(guò)了，所有的努力都白費(fèi)了？不，舉起你de鍵盤，說(shuō)不。讓我們繼續(xù)回到腳本字符的過(guò)濾吧，他們所進(jìn)行的注入無(wú)非就是進(jìn)行腳本攻擊。我們把所有的精力全都用到ACTION以后的頁(yè)面吧，在chk.asp頁(yè)中，我們將非法的字符全部過(guò)濾掉，結(jié)果如何？我們只在前面虛晃一槍，叫他們?nèi)ジ淖?cè)表吧，當(dāng)他們改完才會(huì)發(fā)現(xiàn)，他們所做的都是那么的徒勞。
ASP木馬
已經(jīng)講到這里了，再提醒各位論壇站長(zhǎng)一句，小心你們的文件上傳：為什么論壇程序被攻破后主機(jī)也隨之被攻擊者占據(jù)。原因就在......對(duì)！ASP木馬！一個(gè)絕對(duì)可惡的東西。病毒么？非也.把個(gè)文件隨便放到你論壇的程序中，您老找去吧。不吐血才怪哦。如何才能防止ASP木馬被上傳到服務(wù)器呢？方法很簡(jiǎn)單，如果你的論壇支持文件上傳，請(qǐng)?jiān)O(shè)定好你要上傳的文件格式，我不贊成使用可更改的文件格式，直接從程序上鎖定，只有圖象文件格式，和壓縮文件就完全可以，多給自己留點(diǎn)方便也就多給攻擊者留點(diǎn)方便。怎么判斷格式，我這里收集了一個(gè)，也改出了一個(gè)，大家可以看一下： 程序體（10）


把他們加到你的上傳程序里做一次驗(yàn)證，那么你的上傳程序安全性將會(huì)大大提高.
什么？你還不放心？拿出殺手锏，請(qǐng)你的虛擬主機(jī)服務(wù)商來(lái)幫忙吧。登陸到服務(wù)器，將PROG ID 中的"shell.application"項(xiàng)和"shell.application.1"項(xiàng)改名或刪除。再將"WSCRIPT.SHELL"項(xiàng)和"WSCRIPT.SHELL.1"這兩項(xiàng)都要改名或刪除。呵呵，我可大膽的說(shuō)，國(guó)內(nèi)可能近半以上的虛擬主機(jī)都沒(méi)改過(guò)。只能慶幸你們的用戶很合作，否則......我刪，我刪，我刪刪刪......
小結(jié)
如何更好的達(dá)到防范SQL Injection的攻擊？這里我個(gè)人給推薦幾個(gè)辦法，第一，免費(fèi)程序不要真的就免費(fèi)用，既然你可以共享原碼，那么攻擊者一樣可以分析代碼。如果有能力的站長(zhǎng)最好還是更改一下數(shù)據(jù)庫(kù)表名，字段名，只修改關(guān)鍵的admin， username， password就可以了，比如forum_upasswd 這樣的字段名誰(shuí)能猜到？如果你猜到了，最好趕快去買彩票吧，特等獎(jiǎng)不是你還會(huì)有誰(shuí)呢？另外，一般站點(diǎn)的關(guān)鍵就在于管理員的密碼，很好的保護(hù)好你的管理員密碼那是至關(guān)重要的，至少10位的數(shù)字字母組合。另外加上現(xiàn)在大多數(shù)站點(diǎn)程序都會(huì)使用MD5來(lái)加密用戶密碼，加上你密碼的強(qiáng)壯性，那樣你站點(diǎn)的安全性就大大的提高了。即使出現(xiàn)了SQL Injection漏洞，攻擊者也不可能馬上拿下你的站點(diǎn)。

最新評(píng)論