智睿软件_技术交流论坛综合站长Web程序开发 → ASP推荐,如何防范上传ASP木马至服务器


  共有19603人关注过本帖树形打印

主题:ASP推荐,如何防范上传ASP木马至服务器

帅哥哟,离线,有人找我吗?
zhirui
  1楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:520 积分:8740 威望:0 精华:5 注册:2009-07-07
ASP推荐,如何防范上传ASP木马至服务器  发帖心情 Post By:2013-07-29 13:55:28

 

研究了一天,实际上本身从编程角度上看是外行。因此研究起来确实有些头疼,但收获还是颇大的。

如传统的无组件上传,从现在看来多都是有漏洞的,如化境,无惧的早期版本。即使最新版本仍是有一些漏洞的,但有漏洞并不代表不可以用,关键是要理解代码的含义并进行补丁。

如无惧早期代码对扩张名过滤不严格。实际上仅用一个if语句判断:

FileExt=lcase(ofile.FileExt) '判断扩展名
arrUpFileType=split(UpFileType,"|")
for i=0 to ubound(arrUpFileType)
if FileExt=trim(arrUpFileType(i)) then
EnableUpload=true
exit for
end if
next
if FileExt="asp" or FileExt="asa" or FileExt="aspx" or FileExt="cer" or FileExt="cdx" then
EnableUpload=false '哈哈,关键在这里啦,上传漏洞在这里啦
end if
if EnableUpload=false then
msg="这种文件类型不允许上传!/n/n只允许上传这几种文件类型:" & UpFileType
FoundErr=true
end if

这是根本不可靠的,但许多人以为是大问题,实际上问题不在于此,而在于这一句:

FileExt=lcase(ofile.FileExt)

未进行有效过滤!如果改成fileext=trim(lcase(ofile.fileext),可以防止90%以上漏洞了。如果前面再加上一个更严格的过滤函数,自然就解决问题了。

当然即使如此,仍无法避免改名的ASP木马,因此预防方法还有两个:

1 判断上传的文件的内容的类型,是文本(木马的code)还是真正的图片。简单的方法是判断是否存在<%,但复杂的方法是对图片进行严格分析。

2 服务器的权限设置。


国际域名60元,空间八折优惠,企业的顶级合作伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
zhirui
  2楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:520 积分:8740 威望:0 精华:5 注册:2009-07-07
  发帖心情 Post By:2013-07-29 13:56:12

ASP防止图片木马上传的代码

代码如下:
const adTypeBinary=1

dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
Response.Write CheckFileType(Server.MapPath("2.gif"))

function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>


国际域名60元,空间八折优惠,企业的顶级合作伙伴 支持(0中立(0反对(0回到顶部