本站已运行

攻城狮论坛

作者: 合肥清默
查看: 6948|回复: 72

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

网站如何防范“上传漏洞”入侵

  [复制链接]
查看: 6948|回复: 72
开通VIP 免金币+免回帖+批量下载+无广告
“上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站,都存在上传漏洞。本文将介绍常见的上传漏洞及其防范技巧。
  _$ d5 `$ [& J 一、能直接上传asp文件的漏洞
* Q  ?5 f9 Q" C6 U% g& O' B% T 如果网站有上传页面,就要警惕直接上传asp文件漏洞。例如去年流行的动网5.0/6.0论坛,就有个upfile.asp上传页面,该页面对上传文件扩展名过滤不严,导致黑客能直接上传asp文件,因此黑客只要打开upfile.asp页,直接上传,asp木马即可拿到webshell、拥有网站的管理员控制权。/ _: a$ k3 a; t* ?
除此之外,目前已发现的上传漏洞,还有动感购物商城、动力上传漏洞、乔客上传漏洞等,只要运行“明小子Domain3.5”,点击“综合上传”,即可看到这些著名的上传漏洞。1 L+ o  [0 m' ]( }/ O. d) ]
像明小子这样的上传漏洞利用工具如今还有很多,例如上传漏洞程序4in1、动易2005上传漏洞利用工具、雷池新闻系统上传漏洞利用工具、MSSQL上传漏洞利用工具等等,使用此类工具,只需填写上传页面网址和Cookies,即可成功入侵网站。; W% G, i+ [) b
【防范方法】:为了防范此类漏洞,建议网站采用最新版(例如动网7.1以上版本)程序建站,因为最新版程序一般都没有直接上传漏洞,当然删除有漏洞的上传页面,将会最安全,这样黑客再也不可能利用上传漏洞入侵了!% \1 @8 B, ]3 B; R) V
如果不能删除上传页面,为了防范入侵,建议在上传程序中添加安全代码,禁止上传aspasajsexecom等类文件,这需要管理者能看懂asp程序。' d* F$ T# ^4 T
二、00上传漏洞
7 g4 I/ r3 n) a 目前网上流行的所有无组件上传类都存在此类漏洞——即黑客利用“抓包嗅探”、“ULTRAEDIT”和“网络军刀”等工具伪造IP包,突破服务器端对上传文件名、路径的判断,巧妙上传ASP、ASA、CGI、CDX、CER、ASPX类型的木马。
0 t& O0 W  ?! r7 {5 N: C 例如黑客上传了一个木马文件(xiaomm.asp空格.jpg),由于上传程序不能正确判断含有十六进制00的文件名或路径,于是就出现了漏洞,当上传程序接收到“xiaomm.asp空格.jpg”文件名数据时,一旦发现xiaomm.asp后面还有空格(十六进制的00),它就不会再读下去,于是上传的文件在服务器上就会被保存成xiaomm.asp,因此上传木马就成功了!) F$ d2 T6 }2 e/ f) d
【防范方法】:最安全的防范办法就是删除上传页面。2 p! b/ W  G/ {+ |0 f, a# F
三、图片木马上传漏洞
8 h, n' K) D. |" @% G 有的网站(例如动网7.1SP1博客功能),其后台管理中可以恢复/备份数据库,这会被黑客用来进行图片木马入侵。  l3 R: l; F$ G3 Z! Z
图片木马入侵过程如下:首先将本地木马(例如F:labxwxiaomm.asp)扩展名改为.gif,然后打开上传页面,上传这个木马(例如F:labxwxiaomm.gif);再通过注入法拿到后台管理员的账号密码,溜进网站后台管理中,使用备份数据库功能将.gif木马备份成.asp木马(例如xiaomm.asp),即在“备份数据库路径(相对)”输入刚才图片上传后得到的路径,在“目标数据库路径”输入:xiaomm.asp,提示恢复数据库成功;现在打开IE,输入刚才恢复数据库的asp路径,木马就能运行了。' Q2 `1 n9 C4 |' \
【防范方法】:删除后台管理中的恢复/备份数据库功能。. t- i# t7 H" m: ?& W
四、添加上传类型漏洞
* w; W  X1 D9 ?, J  R4 I# u% A 如今大多数论坛后台中都允许添加上传类型,这也是个不小的漏洞!只要黑客用注入法拿到后台管理员账号密码,然后进入后台添加上传类型,在上传页面中就能直接上传木马!
  J; r* _9 [2 ]  Q" m6 A 例如bbsxp后台中允许添加asa|asP类型,通过添加操作后,就可以上传这两类文件了;ewebeditor后台也能添加asa类型,添加完毕即可直接上传asa后缀的木马;而LeadBbs3.14后台也允许在上传类型中增加asp类型,不过添加时asp后面必须有个空格,然后在前台即可上传ASP木马(在木马文件扩展名.asp后面也要加个空格)。/ M. M$ \+ w2 s7 H2 i; o4 l' ]0 d9 j
【防范方法】:删除后台管理中的添加上传类型功能。
% b& f+ O' B: t5 W( n1 g 五、通用防范上传漏洞入侵秘笈:将服务器端的组件改名
% m: x# \0 ]9 V$ U  g 众所周知,ASP木马主要是通过三种组件FileSystemObject、WScript.Shell和Shell.Application来操作的,因此只要你在服务器上修改注册表,将这三种组件改名,即可禁止木马运行、防范黑客入侵了。这一招能防范所有类型的上传漏洞,因为即使黑客将木马成功上传到服务器中,但是由于组件已经被改名,木马程序也是无法正常运行的!
! k9 N3 k8 ?# b  c, P) @ 具体而言,需要将FileSystemObject组件、WScript.Shell组件、Shell.Application组件改名,然后禁用Cmd.exe,就可以预防漏洞上传攻击。
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

ericyuenhk0913 [Lv8 技术精悍] 发表于 2013-10-15 09:33:35 | 显示全部楼层
欢迎!欢迎!
回复 支持 反对

使用道具 举报

honey8064 [Lv8 技术精悍] 发表于 2013-10-15 19:39:18 | 显示全部楼层
我是个凑数的。。。
回复 支持 反对

使用道具 举报

jicki [Lv8 技术精悍] 发表于 2013-10-15 19:39:18 | 显示全部楼层
相当不错,感谢无私分享精神!
回复 支持 反对

使用道具 举报

jyb75820400 [Lv8 技术精悍] 发表于 2013-10-17 23:12:35 | 显示全部楼层
支持一下:lol
回复 支持 反对

使用道具 举报

sadasz [Lv8 技术精悍] 发表于 2013-10-18 11:44:29 | 显示全部楼层
我是来刷分的,嘿嘿
回复 支持 反对

使用道具 举报

hulin70 [Lv8 技术精悍] 发表于 2013-10-19 11:59:15 | 显示全部楼层
帮你顶下哈!!
回复 支持 反对

使用道具 举报

zengz1234 [Lv8 技术精悍] 发表于 2013-10-21 09:56:31 | 显示全部楼层
有竞争才有进步嘛
回复 支持 反对

使用道具 举报

thanlife [Lv8 技术精悍] 发表于 2014-3-28 22:15:29 | 显示全部楼层
过来看看的,感谢攻城狮论坛
回复 支持 反对

使用道具 举报

wu100 [Lv8 技术精悍] 发表于 2014-3-29 19:47:28 | 显示全部楼层
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 14:50 , Processed in 0.107479 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn