Web程序开发-ASP推荐,如何防范上传ASP木马至服务器[智睿软件

以文本方式查看主题

-  智睿软件_技术交流论坛  (http://zhirui.net/bbs/index.asp)
--  Web程序开发  (http://zhirui.net/bbs/list.asp?boardid=22)
----  ASP推荐,如何防范上传ASP木马至服务器  (http://zhirui.net/bbs/dispbbs.asp?boardid=22&id=3307)

--  作者：zhirui
--  发布时间：2013-07-29 13:55:28
--  ASP推荐,如何防范上传ASP木马至服务器

研究了一天，实际上本身从编程角度上看是外行。因此研究起来确实有些头疼，但收获还是颇大的。

如传统的无组件上传，从现在看来多都是有漏洞的，如化境，无惧的早期版本。即使最新版本仍是有一些漏洞的，但有漏洞并不代表不可以用，关键是要理解代码的含义并进行补丁。

如无惧早期代码对扩张名过滤不严格。实际上仅用一个if语句判断：

FileExt=lcase(ofile.FileExt) \'判断扩展名
arrUpFileType=split(UpFileType,"|")
for i=0 to ubound(arrUpFileType)
if FileExt=trim(arrUpFileType(i)) then
EnableUpload=true
exit for
end if
next
if FileExt="asp" or FileExt="asa" or FileExt="aspx" or FileExt="cer" or FileExt="cdx" then
EnableUpload=false \'哈哈，关键在这里啦，上传漏洞在这里啦
end if
if EnableUpload=false then
msg="这种文件类型不允许上传！/n/n只允许上传这几种文件类型：" & UpFileType
FoundErr=true
end if

这是根本不可靠的，但许多人以为是大问题，实际上问题不在于此，而在于这一句：

FileExt=lcase(ofile.FileExt)

未进行有效过滤！如果改成fileext=trim(lcase(ofile.fileext)，可以防止90%以上漏洞了。如果前面再加上一个更严格的过滤函数，自然就解决问题了。

当然即使如此，仍无法避免改名的ASP木马，因此预防方法还有两个：

1 判断上传的文件的内容的类型，是文本（木马的code)还是真正的图片。简单的方法是判断是否存在<%，但复杂的方法是对图片进行严格分析。

2 服务器的权限设置。

--  作者：zhirui
--  发布时间：2013-07-29 13:56:12
--
ASP防止图片木马上传的代码

代码如下:
const adTypeBinary=1

dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
Response.Write CheckFileType(Server.MapPath("2.gif"))

function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>